恶意软件是数据泄露的重要载体。研究表明,无论是最初的入侵、在网络中扩展或者是窃取数据,51%的数据泄露都使用了恶意软件。然而,尽管恶意软件是关键的攻击矢量,企业却无法抵御在网络中肆意运行的数据窃取恶意软件。事实上,某些规模最大、最广为人知的数据泄露都是由未检测到的恶意软件造成的。

这是为什么呢?现代恶意软件的出现就是为了规避传统的恶意软件防御措施的。当前的恶意软件是复杂的多矢量攻击武器,采用了一系列的规避攻击和伪装技术来规避检测措施。在攻击者和防御者的博弈中,黑客会不断寻找始终领先现有防御系统一步的新方法。这里,我们为各位归纳了5种现代恶意软件常见的规避技术,以及它们是如何战胜传统恶意软件防御措施的。

1. 多态恶意软件

许多传统的恶意软件防御措施可以针对已知的恶意软件特征码进行防御。现代的数据窃取恶意软件可以通过不断的伪装或变形来解决这一点。只需简单地改变代码,攻击者就可以轻松地为文件生成一个全新的二进制特征码。变形的零日恶意软件战胜了杀毒软件、电子邮件过滤、IPS/IDS和沙盒等基于特征码的防御措施。

2. 无文件恶意软件

许多恶意软件防御工具会通过关注静态文件和操作系统(OS)进程来检测恶意活动。然而,越来越多的攻击者采用了只在运行时内存中执行的无文件恶意软件技术,不会在目标主机上留下任何痕迹,因此对基于文件的防御措施是透明的。无文件恶意软件战胜了IPS/IDS、用户与实体行为分析(UEBA)、杀毒软件和沙盒。

3. 加密有效负载

某些恶意软件防御措施采用了内容扫描来拦截敏感数据泄露。攻击者会通过加密被感染主机和命令控制(C&C)服务器之间的信息传送来躲过这一措施。加密有效负载战胜了DLP、终端检测响应(EDR)和Web安全网关(SWG)。

4. 域生成算法(DGA)

某些恶意软件防御措施包含已知C&C服务器的地址,可以阻断这些服务器之间的信息传送。然而,具备域生成功能的恶意软件可以通过定期修改C&C地址细节并使用未知地址来解决这个问题。战胜了Web安全网关(SWG)、终端检测响应(EDR)和沙盒。

5. 主机欺诈

伪造头文件信息可以混淆数据的真实目的地,因此可以绕过针对已知C&C服务器地址的防御措施。战胜了Web安全网关(SWG)、IPS/IDS和沙盒。

那么,企业要如何应对呢?其实,战胜零日规避式恶意软件并不容易,但企业可以采取下面几个重要措施来严格限制这些恶意软件的影响:

采用多层防御措施:保护企业防御规避式恶意软件并不是一件一劳永逸的事情。相反,这是一项持续的工作,需要将端点防御(例如杀毒软件)和防火墙、Web安全网关等网络层防护措施结合起来。只有多层防护措施才能实现完全的安全覆盖。

关注零日恶意软件:在目前常见的恶意软件中,零日恶意软件占了50%。现有的恶意软件防御措施通常都无法检测到零日恶意软件,这是造成数据丢失的主要原因。因此,企业亟需能够明确识别并检测到零日恶意软件的恶意软件防御机制。

进行流量分析:数据窃取恶意软件攻击以整个网络为目标,窃取敏感数据。尽管感染可能来自用户端点,但攻击者通常会将其扩展到网络资源中。因此,恶意软件防御解决方案不仅要关注网络中的某个区域或资源类型,还要全盘考虑整个网络,并分析正在发生的攻击事件。

利用大数据:检测零日恶意软件的一个关键因素就是能够从长期积累的海量信息中采集数据。这就使得防御者可以检测全球范围内的恶意软件活动,并将看似无关的活动关联起来,追踪恶意软件的发展和演变。

相关阅读

中国工程院院士邬贺铨:工业互联网ICT的新挑战

2018公有云提供商TOP50

BAT的“大江大河”:互联网三巨头最全投资版图

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-05-17 10:52:27
云安全 很多将业务迁移云端的公司仍然忽略安全问题
根据全球知名网络安全商卡巴斯基实验室最近发布的一份调查报告,人为错误是企业将系统和数据迁移到云端所面临的最大风险。卡巴斯基实验室全球企业IT安全风险调查报告基于对 <详情>
2019-05-13 10:57:38
国际资讯 物联网数据泄露:全美不足1成企业打过“预防针”
由不安全的物联网设备或应用程序导致数据泄露比例,从2017年的15%增加到了去年的26%。报告指出,实际上这个数字有可能更大,因为大多数组织表示,他们并不了解其环境中或由 <详情>
2019-04-04 12:21:31
云资讯 FB再现数据泄露!上亿用户记录在亚马逊云计算服务器上曝光
据外媒报道,网络安全公司UpGuard的研究人员声称,他们在亚马逊云云计算服务器上可公开访问的地方发现了数亿Facebook用户的个人信息记录。 <详情>
2019-03-14 18:43:00
国际资讯 泄露8700万用户数据资料,它将面临刑事调查......
Facebook涉嫌数据交易,正面临刑事调查。去年对剑桥分析公司泄露用户信息的披露将Facebook推入了其历史上最严重的危机。有新闻报道称,去年6月和12月,Facebook向包括智能 <详情>
2019-03-06 11:51:25
互联网 英特尔CPU再曝高危漏洞:可泄露私密数据 暂无法修复
3月6日早间消息,据外媒报道,美国伍斯特理工学院研究人员在英特尔处理器中发现一个高危漏洞名为Spoiler,与之前被发现的Spectre相似,Spoiler会泄露用户的私密数据。 <详情>