近來(lái)，高級(jí)持續(xù)性威脅(APT)、勒索病毒和其他復(fù)雜犯罪的激增，表明隱藏良好的病毒絕對(duì)是值得警惕的。 最新的安全威脅的特征是它們能夠在公司的網(wǎng)絡(luò)上長(zhǎng)時(shí)間保持不被發(fā)現(xiàn)，在某些情況下，罪犯一直都沒(méi)有被注意到。 IT專業(yè)人員需要為新一代的惡意軟件和APT的攻擊做準(zhǔn)備，這些軟件很不起眼，但很危險(xiǎn)。

接下來(lái)，就讓我們一起回顧APT、勒索軟件和其他復(fù)雜的惡意軟件可以隱藏在您網(wǎng)絡(luò)中的位置，以及如何保護(hù)您的組織。

1. 關(guān)鍵系統(tǒng)文件

高度復(fù)雜的惡意軟件可以隱藏的最危險(xiǎn)和無(wú)害的地方之一是你的關(guān)鍵系統(tǒng)文件。傳統(tǒng)上，可以通過(guò)數(shù)字簽名的方式用于替換或修改現(xiàn)有關(guān)鍵系統(tǒng)文件，許多惡意軟件文件由在已簽名文件的屬性可認(rèn)證字段(ACT)中可見(jiàn)的外部簽名或元數(shù)據(jù)來(lái)區(qū)分。 最近有國(guó)外的安全研究人員發(fā)現(xiàn)簽名不再是萬(wàn)無(wú)一失的。

現(xiàn)在，網(wǎng)絡(luò)犯罪分子已經(jīng)發(fā)現(xiàn)如何在不修改ACT的情況下通過(guò)將惡意軟件隱藏在簽名文件中來(lái)完成“文件速記”。 雖然高度復(fù)雜的網(wǎng)絡(luò)罪犯使用的文件速記技術(shù)可以繞過(guò)大多數(shù)傳統(tǒng)的檢測(cè)方法，但仍有一些痕跡。使用除了特征碼改變之外還能夠檢測(cè)文件大小或內(nèi)容的變化的技術(shù)，可以檢測(cè)這些負(fù)面的變化。

2. 注冊(cè)表

一些惡意軟件會(huì)修改Windows注冊(cè)表鍵，以便在“自動(dòng)運(yùn)行”之間建立位置，或者確保每次啟動(dòng)操作系統(tǒng)時(shí)都啟動(dòng)惡意軟件。InfoWorld的Roger A.Grimes在2015年寫道，現(xiàn)在絕大多數(shù)惡意軟件修改注冊(cè)表密鑰，作為確保長(zhǎng)期駐留于網(wǎng)絡(luò)中的一種模式。手動(dòng)檢查Windows注冊(cè)表項(xiàng)以檢測(cè)異常是一項(xiàng)艱巨的任務(wù)。理論上需要將日志文件與成千上萬(wàn)的自動(dòng)運(yùn)行設(shè)置進(jìn)行比較。雖然存在一些可能的捷徑，但是通常使用文件完整性監(jiān)視解決方案最有效地確定對(duì)注冊(cè)表鍵的修改。

cc

收藏 海報(bào)分享