|
|
51CTO旗下网站
|
|
开户注册送38体验金端

抵御无文件型恶意软件电子游艺免费申请彩金的那些事儿

无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说,它们在实现目标主机感染时,并不需要通过文件来调用上述组件。

作者:Alpha_h4ck来源:Freebuf|2019-05-13 08:36

前言

目前,针对企业环境的无文件型恶意软件威胁正在日趋增长。无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说,它们在实现目标主机感染时,并不需要通过文件来调用上述组件。

这个过程通常被称之为Process Hollowing,在这种机制下,恶意软件可以使用一个特定进程来作为恶意代码的存储容器以及分发机制。近期,FireEye的研究人员就发现有电子游艺免费申请彩金者将PowerShell、VB脚本和.NET应用整合进了一个代码包中。

利用PowerShell来实现电子游艺免费申请彩金已经很常见了,而且大家应该也清楚基于PowerShell的漏洞电子游艺免费申请彩金杀伤力有多么强大,因为恶意代码可以直接在PC内存中执行。此外,PowerShell还可以用于远程访问电子游艺免费申请彩金或绕过应用白名单保护等等。

鉴于这类日趋严重的安全威胁,安全团队可以做些什么来保护他们的组织抵御无文件型恶意软件呢?

确保公司内部环境的安全

为了抵御无文件型恶意软件的电子游艺免费申请彩金,首先我们要确保组织网络系统内的计算机安装了最新的补丁程序。很多电子游艺免费申请彩金者会利用旧版本系统中未修复或延迟修复的漏洞,而“永恒之蓝”漏洞就是一个很好的例子(该漏洞的补丁要先于漏洞利用程序的发布)。

接下来,我们要设计一个强有力的安全意识培训方案。这并不意味着你要定期进行安全练习,或偶尔向员工发送钓鱼测试邮件。这里需要我们制定一套安全操作流程,并且让员工有效地意识到电子邮件附件的危险性,防止员工无意识地点击陌生链接。因为很多无文件型恶意软件电子游艺免费申请彩金都是通过一封简单的网络钓鱼邮件开始的,因此这样的安全培训或操作方案是非常重要的。

第三,安全团队需要了解Windows内置代码的操作行为,这样我们就可以在第一时间发现异常情况。比如说,如果你在/TEMP目录中发现了隐藏的PowerShell脚本,那你就需要小心了。

更新访问权限和特权账号

组织应该了解无文件型恶意软件的电子游艺免费申请彩金机制,因为就算你点击了一封邮件中的恶意附件,也并不意味着你的电脑就会立即感染恶意软件。因为很多恶意软件会在目标系统所处的网络环境中进行横向渗透,并寻找更加有价值的电子游艺免费申请彩金目标,比如说域控制器或Web服务器等等。为了防止这种情况的发生,我们应该对组织内的网络系统以及相应访问权限进行仔细划分,尤其是针对第三方应用程序和用户进行划分。

当恶意软件成功渗透目标组织的网络系统后,随着恶意软件的横向渗透,电子游艺免费申请彩金者可以利用PowerShell来实现提权。比如说,电子游艺免费申请彩金者可以发送反向DNS请求,枚举出网络共享的访问控制列表,并查找出特定域组的成员。

因此,安全团队应当遵循“最少权限”的原则,及时检查已过期账户的访问权限,并根据需要限制某些账号的特权。除此之外,组织还要禁用那些不需要的Windows程序,因为并不是每个员工都需要在自己的计算机上运行PowerShell或.NET框架的。当然了,你也可以移除像SMBv1这样的遗留协议,而这类协议也是WannaCry能够为非作歹的主要原因。

最后,为了确保不被电子游艺免费申请彩金者利用MS Office恶意宏来实现电子游艺免费申请彩金,我们也应该尽可能地禁用宏功能,不过这并不是一种通用解决方案,因为很多用户仍然需要宏功能来完成他们的工作。

抗争到底!

虽然无文件电子游艺免费申请彩金日益猖獗,但微软方面并没有停滞不前。实际上,他们已经开发出了一个名为“反恶意软件扫描接口”的开放接口,而且很多供应商已经开始使用它来检测无文件型恶意软件电子游艺免费申请彩金了,尤其是在分析脚本行为时,这个接口的作用就体现得更加明显了。

此外,任何想要深入了解无文件型电子游艺免费申请彩金的研究人员都应该去看一看开源项目-AltFS。这是一个完整的无文件型虚拟文件系统,可以用来演示无文件技术的工作机制,而且该项目可以直接在Windows或macOS平台上搭建使用。

正如大家所看到的那样,对抗无文件电子游艺免费申请彩金需要我们扎扎实实地做好很多细节工作,并在各种工具与技术之间进行仔细协调。随着越来越多不可预见的恶意软件威胁出现,各大组织更应该采取措施来加强自身的安全防御。

【编辑推荐】

  1. 2019年三月份恶意软件之“十恶不赦”排行榜
  2. 两种姿势批量解密恶意驱动中的上百条字串
  3. 号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?
  4. 恶意软件加密通信概要分析
  5. 时下流行的9种恶意软件,你都了解吗?
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

我的运维日志系统构建之路

我的运维日志系统构建之路

新用户注册送47元彩金驱动运维
共18章 | 我叫于小炳

198人订阅学习

CentOS文件服务的最佳实战

CentOS文件服务的最佳实战

涨薪跳槽必备技能
共15章 | 追风蚂蚁

90人订阅学习

小白网工宝典

小白网工宝典

一次搞定思科华为
共15章 | 思科小牛

505人订阅学习

读 书 +更多

Windows Forms 编程实战

本书由浅入深地介绍Windows Forms编程的技巧和各种实用方法。本书先详细介绍了菜单、状态条、可复用类库、文件对话框、文本框、按钮、列表...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网