近來,高級持續性威脅(APT)、勒索病毒和其他複雜犯罪的激增,表明隱藏良好的病毒絕對是值得警惕的。
最新的安全威脅的特徵是它們能夠在公司的網絡上長時間保持不被發現,在某些情況下,罪犯一直都沒有被注意到。 IT專業人員需要為新一代的惡意軟件和APT的攻擊做準備,這些軟件很不起眼,但很危險。
接下來,就讓我們一起回顧APT、勒索軟件和其他複雜的惡意軟件可以隱藏在您網絡中的位置,以及如何保護您的組織。
一 關鍵系統文件
高度複雜的惡意軟件可以隱藏的最危險和無害的地方之一是你的關鍵系統文件。傳統上,可以通過數字簽名的方式用於替換或修改現有關鍵系統文件,許多惡意軟件文件由在已簽名文件的屬性可認證字段(ACT)中可見的外部簽名或元數據來區分。 最近有國外的安全研究人員發現簽名不再是萬無一失的。
二 註冊表
一些惡意軟件會修改Windows註冊表鍵,以便在“自動運行”之間建立位置,或者確保每次啟動操作系統時都啟動惡意軟件。現在絕大多數惡意軟件修改註冊表密鑰,作為確保長期駐留於網絡中的一種模式。手動檢查Windows註冊表項以檢測異常是一項艱鉅的任務。
理論上需要將日誌文件與成千上萬的自動運行設置進行比較。雖然存在一些可能的捷徑,但是通常使用文件完整性監視解決方案最有效地確定對註冊表鍵的修改。
三 臨時文件夾
操作系統包含一組臨時文件夾,其範圍從Internet緩存到應用程序數據。這些文件是操作系統的固有部分,允許系統處理和壓縮信息以支持用戶體驗。本質上,這些臨時文件夾通常是缺省可寫的,以便所有用戶能夠進行互聯網瀏覽、創建Excel電子表格和其他常見活動。
由於這些臨時文件夾固有的鬆散安全性,一旦罪犯通過網絡釣魚、rootkit漏洞或其他方法進入您的系統,它就成為惡意軟件和贖金軟件的常見著陸點。隨機軟件和惡意軟件可以使用臨時文件夾作為啟動臺,以便立即執行,或通過權限提升和其他模式,在公司的網絡內建立各種其他據點。
四 LNK文件
也被稱為“快捷方式”,可能包含到惡意軟件或充斥贖金軟件網站的直接路徑,或者更危險的可執行文件。很可能,您的員工在桌面上有很多這樣的途徑,以便於使用常訪問的Web應用程序和其他工具。 惡意軟件和贖金軟件都可以通過巧妙偽裝的.lnk文件下載後在系統中獲得支持,該文件可能類似於現有的快捷方式,甚至無害的PDF文檔。不幸的是,由於文件的LNK方面沒有明顯顯示,很多用戶無法區分。
五 Word文件
即使是比較低級的垃圾郵件過濾器也有足夠的智慧來識別.exe文件可能是惡意的。然而,很多網絡犯罪分子已經意識到了這種做法,並且正在利用Microsoft Office VBA在Word文檔宏中插入贖金代碼。這種特殊風格的“鎖定贖金軟件”立即輸入臨時文件,並執行對數據和贖金軟件需求的鎖定。
閱讀更多 網絡安全焦點 的文章
