• 服務(wù)熱線18028990096/13725734438

2019年網(wǎng)絡(luò)安全威脅趨勢(shì)之二

2019年網(wǎng)絡(luò)安全威脅趨勢(shì)之二



離地攻擊
根據(jù) SophosLabs 2019威脅報(bào)告的研究,網(wǎng)絡(luò)攻擊者借由濫用操作系統(tǒng)中常見的合法管理工具,成功地在 Windows 電腦上躲避偵測(cè)。
網(wǎng)絡(luò)安全領(lǐng)域,將這種手法稱之為“離地攻擊” ("living off the land") 或 "LoL",因?yàn)樗挥孟螺d專用工具。而最受偏好的目標(biāo)是 PowerShell,這是一個(gè)功能強(qiáng)大的命令列命令介面,內(nèi)建在所有近期的 Windows 電腦中 (即使只有少數(shù)使用者聽說過它)。其他目標(biāo)還有 Windows Scripting Host (WScript.exe)、Windows Management Instrumentation Command Line (WMIC) 以及常見的外部工具,如 PsExec和WinSCP。這個(gè)簡(jiǎn)單的策略就使我們難以偵測(cè)到攻擊。SophosLabs 2019威脅報(bào)告指出,雖然刪除工具是一種選擇,但大多數(shù)系統(tǒng)管理員不會(huì)這么做。因?yàn)镻owerShell也是可以幫助系統(tǒng)管理員管理各種網(wǎng)絡(luò)的一個(gè)組成元件,因此必須存在并啟用,以便系統(tǒng)管理員能夠執(zhí)行如推送群組政策變更之類的操作。當(dāng)然,攻擊者知道這一點(diǎn),并會(huì)毫不客氣地將一系列指令碼和命令介面串接在一起,讓每個(gè)指令碼在不同的 Windows 處理序中運(yùn)作。
 根據(jù) SophosLabs 報(bào)告指出,攻擊一開始可能是執(zhí)行惡意 JavaScript,接著叫用wscript.exe,最終才會(huì)下載一個(gè)自訂的 PowerShell 指令碼。系統(tǒng)管理員面對(duì)的挑戰(zhàn):當(dāng)包含多個(gè)純文字指令碼的各種檔案類型,以沒有特定順序且不具可預(yù)測(cè)性的方式串接時(shí),如何區(qū)分電腦的正常操作與惡意軟件感染的異常行為就成了一項(xiàng)難題。

 巨集攻擊2.0
與此同時(shí),攻擊者仍沒有放棄使用變種的 Microsoft Office巨集攻擊,這是另一種不需要傳統(tǒng)的可執(zhí)行檔就能發(fā)動(dòng)攻擊的手法。
近年來,諸如在文件中停用巨集或使用預(yù)覽模式等保護(hù)措施,已經(jīng)有效減輕了這種攻擊的威力。不幸的是,攻擊者又利用新方法來說服人們使用巨集建立器工具來停用巨集,這些工具會(huì)將 Office、Flash和其他漏洞打包成一個(gè)文件,以便產(chǎn)生更精準(zhǔn)的社交工程提示訊息。
更復(fù)雜的是,網(wǎng)絡(luò)犯罪分子已經(jīng)從老舊的軟件漏洞轉(zhuǎn)向到更危險(xiǎn)和更新的目標(biāo):SophosLabs 對(duì)惡意檔案的分析發(fā)現(xiàn),只有 3% 的漏洞利用攻擊鎖定 2017 年之前的漏洞。
由于端點(diǎn)安全產(chǎn)品現(xiàn)在會(huì)阻止或監(jiān)視經(jīng)常使用的檔案類型,因此犯罪分子偏好使用更特別的檔案類型來發(fā)動(dòng)攻擊,尤其是可以從Windows命令介面呼叫的的無害檔案類型,例如 .cmd(命令檔案)、.cpl (主控臺(tái))、HTA (Windows 指令碼主機(jī))、LNK (Windows 捷徑) 和 .PIF(程序資訊檔)。
 
橫向移動(dòng)
雖然 Microsoft 在 2017年 5月 WannaCry 出現(xiàn)之前就釋出修補(bǔ)檔案,但EternalBlue漏洞利用攻擊(CVE-2017-0144)令人驚訝地成為惡意軟件作者的熱門標(biāo)的。
加密貨幣挖礦軟件一直是 EternalBlue的愛用者,利用它透過網(wǎng)絡(luò)橫向移動(dòng)以感染盡可能多的機(jī)器。
2019網(wǎng)絡(luò)安全威脅趨勢(shì)2
 
有了這些新手法 (離地攻擊工具、巨集攻擊、新型漏洞利用和加密挖礦),攻擊者會(huì)成為網(wǎng)絡(luò)安全一大挑戰(zhàn),因?yàn)樗麄兂3?huì)使系統(tǒng)管理員不知所措。
 
網(wǎng)絡(luò)技術(shù)在大大提高了我們生產(chǎn)效率的同時(shí),也伴隨著網(wǎng)絡(luò)犯罪的發(fā)展。黑客、惡意軟件以及其他網(wǎng)絡(luò)漏洞進(jìn)入我們的網(wǎng)絡(luò)并以驚人的速度發(fā)展,因此在網(wǎng)絡(luò)時(shí)代,最新的網(wǎng)絡(luò)安全是必要的。網(wǎng)絡(luò)犯罪在2019年會(huì)變得比以往更嚴(yán)峻,所以網(wǎng)絡(luò)安全也比以往更重要。所以對(duì)于企業(yè)用戶,最好辦法就是做好應(yīng)對(duì)威脅的準(zhǔn)備,保證企業(yè)網(wǎng)絡(luò)安全。
藍(lán)訊與深信服、天融信、啟明星辰、網(wǎng)康、山石網(wǎng)科、Cisco、Juniper、Sophos、Fortinet、卡巴斯基、賽門鐵克、趨勢(shì)等安全廠家長期合作,為各企業(yè)用戶提供針對(duì)性的網(wǎng)絡(luò)安全解決方案。歡迎來電咨詢,聯(lián)絡(luò)人:傅小姐 電話:18028990096

廣東藍(lán)訊智能科技有限公司旨在為客戶提供優(yōu)質(zhì)的服務(wù)和高水平產(chǎn)品

全球領(lǐng)先的企業(yè)智能化解決方案供應(yīng)商,由前微軟美國總部核心研發(fā)團(tuán)隊(duì)成員及移動(dòng)互聯(lián)網(wǎng)行業(yè)專家在美國西雅圖創(chuàng)立獲得了微軟創(chuàng)投的扶持以及晨興資本、IDG資本、天創(chuàng)資本等國際頂級(jí)風(fēng)投機(jī)構(gòu)的投資。安全高效的幫助您的企業(yè)移動(dòng)化,讓企業(yè)安全邁進(jìn)移動(dòng)智能時(shí)代



{dede:global.cfg_tel/}