论文部分内容阅读
挫败或者绕过端点保护措施的攻击所造成的泄露事件越来越多。本文介绍了攻击者是怎么干的。
据Ponemon的《2018年端点安全风险状况报告》,63%的IT安全专业人士承认,过去12个月内,攻击频率有所上升,52%的受访者认为,事实上不可能停止所有攻击。他们的防病毒解决方案仅阻止了43%的攻击。64%的受访者说,他们的企业经历过一次甚至多次导致数据泄露的端点攻击。
这份报告是根据对660名IT安全专业人士的调查得出的,报告显示,大多数人(70%)承认,他们企业所面临的新威胁和未知威胁有所增加,而成功攻击的成本从平均500万美元增加到了710万美元。
然而,几乎每台计算机都内置了某种形式的保护措施。那么,为什么攻击者仍能得手呢?本文介绍攻击者绕过端点保护安全措施的几种主要方法。
1.基于脚本的攻击
在基于脚本或者“无文件”攻击中,恶意软件实际上是在现有合法应用软件中运行的脚本,它利用了PowerShell或者使用其他已安装的Windows组件。由于没有安装新的软件,因此,很多传统的防御系统都被它绕过了。
据Ponemon,这类攻击极有可能导致出现泄露,而且在所有攻击事件中,此类泄露事件占比从2017年的30%上升到去年的35%。Malwarebytes公司的高级安全研究员Jérome Segura介绍说:“伪代码非常少,例如,实际上扫描不到恶意软件二进制代码。”
安全系统只是能检测到有一些网络流量。“然而,攻击者也可以加密这些通信,使用可信的通信路由,悄悄地窃取数据。”
据今年年初发布的《赛门铁克互联网安全威胁报告》,去年恶意PowerShell脚本的使用增加了1000%。Digital Guardian公司的云服务安全架构师Naaman Hart介绍说:“例如,攻击者通过执行人类无法读取的命令来使用PowerShell,比如base64编码命令。PowerShell现在是必不可少的,因此攻击者通常总是会去利用它。”
Hart说,捕获此类攻击的关键是寻找常见应用软件执行异常操作的实例。他解释说:“例如,如果你跟踪自己环境中最后被执行的一千条命令,那就应该注意那些出现不到五次的命令。这通常会是一些不常见的命令,而这些命令往往就是恶意的。”
2.在流行的基础设施上托管恶意网站
很多安全平台通过阻止用户点击恶意链接来抵御网络钓鱼攻击。例如,他们可能会检查某一IP地址是否与其他恶意软件活动有关联。Segura说:“但是,如果把恶意链接托管在类似于Azure或者谷歌云的地方,而这些是使用非常广泛的基础设施,不会被列入黑名单。”Slack、GitHub和其他协作工具也可以用来帮助绕过防御。
一旦被安装了恶意软件,它通常会与命令和控制(C
据Ponemon的《2018年端点安全风险状况报告》,63%的IT安全专业人士承认,过去12个月内,攻击频率有所上升,52%的受访者认为,事实上不可能停止所有攻击。他们的防病毒解决方案仅阻止了43%的攻击。64%的受访者说,他们的企业经历过一次甚至多次导致数据泄露的端点攻击。
这份报告是根据对660名IT安全专业人士的调查得出的,报告显示,大多数人(70%)承认,他们企业所面临的新威胁和未知威胁有所增加,而成功攻击的成本从平均500万美元增加到了710万美元。
然而,几乎每台计算机都内置了某种形式的保护措施。那么,为什么攻击者仍能得手呢?本文介绍攻击者绕过端点保护安全措施的几种主要方法。
1.基于脚本的攻击
在基于脚本或者“无文件”攻击中,恶意软件实际上是在现有合法应用软件中运行的脚本,它利用了PowerShell或者使用其他已安装的Windows组件。由于没有安装新的软件,因此,很多传统的防御系统都被它绕过了。
据Ponemon,这类攻击极有可能导致出现泄露,而且在所有攻击事件中,此类泄露事件占比从2017年的30%上升到去年的35%。Malwarebytes公司的高级安全研究员Jérome Segura介绍说:“伪代码非常少,例如,实际上扫描不到恶意软件二进制代码。”
安全系统只是能检测到有一些网络流量。“然而,攻击者也可以加密这些通信,使用可信的通信路由,悄悄地窃取数据。”
据今年年初发布的《赛门铁克互联网安全威胁报告》,去年恶意PowerShell脚本的使用增加了1000%。Digital Guardian公司的云服务安全架构师Naaman Hart介绍说:“例如,攻击者通过执行人类无法读取的命令来使用PowerShell,比如base64编码命令。PowerShell现在是必不可少的,因此攻击者通常总是会去利用它。”
Hart说,捕获此类攻击的关键是寻找常见应用软件执行异常操作的实例。他解释说:“例如,如果你跟踪自己环境中最后被执行的一千条命令,那就应该注意那些出现不到五次的命令。这通常会是一些不常见的命令,而这些命令往往就是恶意的。”
2.在流行的基础设施上托管恶意网站
很多安全平台通过阻止用户点击恶意链接来抵御网络钓鱼攻击。例如,他们可能会检查某一IP地址是否与其他恶意软件活动有关联。Segura说:“但是,如果把恶意链接托管在类似于Azure或者谷歌云的地方,而这些是使用非常广泛的基础设施,不会被列入黑名单。”Slack、GitHub和其他协作工具也可以用来帮助绕过防御。
一旦被安装了恶意软件,它通常会与命令和控制(C