恶意软件绕过终端防护的六种方式

2019/7/4 21:42:00   290人正在查看    黑基泳池  
当网络安全威胁越来越猖狂的时候,很多企业都会为自己的每一台计算机设置了某种形式的防护措施,然而,攻击者还是无孔不入,这到底是为什么呢?接下来小编就给大家介绍恶意软件绕过终端防护的六种方式:

1. 基于脚本的攻击
基于脚本的攻击也是“无文件” 攻击,其中的恶意软件其实就是在已有合法应用中执行的脚本,可以利用 PowerShell 或其他已经安装的 Windows 组件,达到窃取数据的目的。这种攻击几乎不留痕迹,没有可供杀毒软件扫描的实体恶意二进制文件。捕捉此类攻击的关键在于寻找常见应用执行不常见操作的实例,这样方便找出一些不正常的指令,也就是恶意指令。

2. 在流行基础设施上托管恶意站点

如果攻击者将恶意站点托管在 Azure 或谷歌云之类的东西上,那这些恶意站点就不容易被加入黑名单,这样就能够司仪攻击目标系统,盗取数据。

3. 中毒合法应用及实用程序

企业员工经常会使用很多第三方应用、工具和实用程序,如果这些工具被攻击者入侵,渗透进升级功能中,或者潜入开源项目的代码库里,他们就可以植入后门和其他恶意代码。为防止此类事情发生,企业和软件开发人员必须仔细检查软件中的开源代码,将该代码映射回其确切源头,以便一旦出问题就能快速清除或修复。

4. 沙箱逃逸

沙箱是下一代终端防护平台的一个常见功能,但里面的防护指令很容易被黑客绕开,黑客可以将恶意软件编写成只在沙箱外才激活恶意行,延时是最常见的手法。恶意软件可能等待数小时、数天,乃至数周才激活,在攻击载荷被触发之前尽可能广泛地感染网络。

5. 未修复的漏洞

一些未及时修复的漏洞或新型漏洞很有可能会让攻击者有机可乘,进而增加安全风险。

6. 拿下安全代理

设备装有安全代理说明终端防护措施越来越丰富,然而,安全代理的数量并不能保证有效性。首先,代理之间互有重叠,还会相互抵触和干扰。随时都有7%的终端缺乏防护,21%的终端装有过时的系统。即便安装了终端防护安全,且防护有效,保持更新,一旦攻击者建立了立足点,就可以针对终端安全代理发起拒绝服务攻击,让代理过载而无法继续提供防护功能,或者利用未能恰当配置的安全代理。然后,攻击者就可以修改注册表以提升权限,在安全代理恢复时凌驾于终端防护服务之上。

. 黑基网、一直被模仿,从未被超越!

发表评论

   


  通知楼主
暂无回复!

猜你喜欢

刷新 换一批