目前,无文件恶意软件对企业环境的威胁日益增加。无文件恶意软件使用的代码不需要驻留在目标窗口设备上,而普通的窗口安装程序涉及许多东西:PowerShell、WMI、VB、注册表项和。NET框架等。但是,对于无文件恶意软件,当实现目标主机感染时,它们不需要通过文件调用上述组件。
这个过程通常被称为进程空洞化(Process Hollowing),在这种情况下,恶意软件可以使用特定的进程作为恶意代码的存储容器和分发机制。最近,火眼的研究人员发现黑客已经集成了PowerShell、VB脚本和。NET应用程序集成到一个代码包中。
使用PowerShell来实施威胁是非常常见的,每个人都应该知道基于PowerShell的漏洞有多强大,因为恶意代码可以直接在电脑内存中执行。此外,PowerShell还可用于远程访问威胁或绕过应用白名单保护等。
鉴于如此严重的安全威胁,安全团队能做些什么来保护他们的组织免受无文件恶意软件的攻击?
确保公司内部环境的安全
为了抵御无文件恶意软件的威胁,首先我们必须确保组织网络系统中的计算机安装了当前的补丁程序。许多罪犯会利用旧系统中尚未修复或延迟的漏洞,而“永久蓝色”漏洞就是一个很好的例子(该漏洞的补丁应该在漏洞利用程序发布之前发布)。
接下来,我们将设计一个强大的安全意识培训计划。这并不意味着您必须定期进行安全练习,或者偶尔向员工发送网络钓鱼测试电子邮件。这里我们需要建立一套安全的操作程序,让员工有效地意识到电子邮件附件的危险,防止员工无意识地点击不熟悉的链接。因为许多无文件恶意软件威胁始于简单的网络钓鱼电子邮件,所以这种安全培训或操作程序非常重要。
第三,安全团队需要知道窗口内置代码的操作行为,以便我们能够发现异常情况。例如,如果您在/TEMP目录中发现隐藏的PowerShell脚本,您需要小心。
更新访问权限和特权账号
组织应该了解无文件恶意软件的威胁机制,因为即使您点击了电子邮件中的恶意附件,也不意味着您的计算机会立即被恶意软件感染。因为许多恶意软件会横向渗透到目标系统所在的网络环境中,找到更有价值的目标,如域控制器或网络服务器等。为了防止这种情况发生,我们应该仔细划分组织内的网络系统和相应的访问权限,特别是对于第三方应用程序和用户。
当恶意软件成功渗透到目标组织的网络系统时,随着恶意软件的横向渗透,犯罪分子可以使用PowerShell来实现权力提升。例如,罪犯可以发送反向域名系统请求,枚举网络共享的访问控制列表,并查找特定域组的成员。
因此,安全团队应遵循“最低权限”原则,及时检查过期账户的访问权限,并根据需要限制部分账户的权限。此外,组织应该禁用那些不需要的窗口程序,因为不是每个员工都需要运行PowerShell或。NET框架安装在自己的计算机上。当然,您也可以删除像SMBv1这样的遗留协议,这也是WannaCry能够作恶的主要原因。
为了确保微软办公室的恶意宏不会被犯罪分子利用来实现威胁,我们也应该尽可能禁用宏功能,但这不是一个常见的解决方案,因为很多用户仍然需要宏功能来完成他们的工作。
抗争到底!
尽管没有文件的威胁日益猖獗,微软并没有停滞不前。事实上,他们已经开发了一个叫做“反恶意软件扫描接口(Anti-Malware Scan Inface)”的开放接口,许多厂商已经开始使用它来检测无文件恶意软件威胁,尤其是在分析脚本行为时,这个接口的作用更加明显。
此外,任何想了解更多关于非文件威胁的研究人员都应该看看开源项目——altFs。这是一个完整的无文件虚拟文件系统,可以用来演示无文件技术的工作机制,该项目可以直接在视窗或macOS平台上构建和使用。
如您所见,面对没有文档的威胁,我们需要脚踏实地地做大量详细工作,并在各种工具和技术之间进行仔细协调。随着越来越多不可预测的恶意软件威胁的出现,各大组织应该采取更多措施来加强自身的安全防御。
极牛网精选文章《抵御无文件型恶意软件威胁那些事儿》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/5285.html