数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
在不断变化的网络安全领域中,威胁行为者总是在开发新的、更有效的方法来破坏系统。
从基本的计算机病毒到如今复杂且持续性的威胁,恶意软件已经发展得极为迅速。
随着无文件恶意软件的不断发展,恶意软件已逐渐成为传统恶意软件的更危险替代品,它使用基于文件的有效载荷在被黑客入侵的设备上留下痕迹。
现代安全解决方案很难发现此类攻击,因为它们完全在内存中运行,受害者的硬盘上几乎没有留下此类攻击的痕迹。数字化转型网www.szhzxw.cn
与其前辈不同的是,无文件恶意软件使用普通系统工具和技术潜伏在显眼的地方,同时传达恶意意图。
随着企业不断改进其网络安全系统,对无文件恶意软件的有效检测和预防程序变得越来越重要。
安全专家必须了解基于内存的攻击,因为这一知识差距使许多安全解决方案容易受到攻击。
现代无文件攻击混合了复杂的技术工具集,以利用对系统流程和工具的底层信心。
代码注入:最广泛使用的技术之一是代码注入,即将危险代码直接注入之前运行的合法应用程序(如Explorer.exe或svchost.exe)。此策略可让恶意行为者隐藏可靠的程序,从而使系统无法发现有害操作。
离地生活(LotL)技术:无文件攻击的关键组成部分也是离地生活(LotL)技术。
攻击者利用Windows的两个内置功能PowerShell和Windows管理规范进行破坏性操作。
攻击者可以通过WMI创建持久性,并使用PowerShell在网络计算机之间横向移动,直接在内存中下载和运行其他有效负载。数字化转型网www.szhzxw.cn
注册表操纵:攻击者通常会修改Windows注册表,以便即使在系统重启期间也能保持其持久性。
恶意软件可以通过在系统启动时轻轻地重新执行注册表项中保存的命令来避免被磁盘清理器检测到。Poweliks恶意软件活动广泛使用此方法,将加密的有效负载隐藏在注册表项中,以免被察觉。
反射式DLL注入:一种称为反射式DLL注入的现代方法允许敌对行为者将动态链接库直接从磁盘加载到进程的内存区域中,而无需注册它们。数字化转型网www.szhzxw.cn
这种方法可以分发驻留在内存中的银行木马,就像之前针对金融机构的攻击中所见的那样,完全逃避基于磁盘的检测系统。它避开了安全协议和传统的加载机制。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于铸盾安全;编辑/翻译:数字化转型网Jerry。
