采纳了数字化的公司企业不仅仅更加敏捷,还大幅优化了预算,提升了竞争力。但在整体表现上升的同时,这些新技术的采纳,也扩大了攻击界面,让网络罪犯可以利用来部署威胁,破坏公司整体安全状态。
传统威胁要么作为独立应用,在受害者机器上悄悄运行;要么破坏现有应用完整性,改变它们的行为。此类威胁通常被称为基于文件的恶意软件,传统终端防护解决方案已经集成了磁盘文件扫描功能,可以在文件执行之前加以阻断。
基于文件 vs 无文件
最常见的几种攻击技术里,受害者可能会下载恶意程序,该恶意程序就在后台静默执行,跟踪用户行为;或者利用主机上常见软件的漏洞,以便可以秘密下载额外的组件,在受害者毫无所觉的情况下执行之。
传统威胁在执行恶意代码之前,必须将代码写入受害主机磁盘。基于特征码的检测就是基于此而存在的,因为该技术可发现已知恶意程序,并阻止其写入磁盘或在主机上执行。然而,新的机制,比如加密、混淆和多态,已将传统检测技术甩在身后,因为网络罪犯不仅可以操纵文件在每台受害主机上的形态,还能让安全扫描引擎难以分析其中代码。
传统基于文件的恶意软件,通常用于获取对操作系统及其程序的未授权访问,往往会创建或释放带不同功能的额外文件及依赖,比如.dll、.sys或.exe文件。如果获得了有效数字证书,此类恶意软件还能避免触发任何基于文件的传统终端安全技术,将自身安装成驱动程序或rootkit,获得操作系统的完全控制权。个中代表,就是大名鼎鼎的震网病毒,渗透特定目标的同时还有长期驻留能力。该恶意软件经过了数字签名,有各种模块,能够从一台受害主机秘密扩散到另一台,直至抵达最终既定目标。
在恶意代码执行方式和传统文件扫描技术规避方式上,无文件恶意软件与基于文件的恶意软件完全不同。正如其名称所显示的,无文件恶意软件不涉及任何磁盘文件写入操作就能执行。恶意代码直接在受害计算机内存中执行,意味着系统重启后恶意代码就不复存在。但是,网络罪犯还采用了各种技术,将无文件的能力与驻留功能结合。比如说,恶意代码放到注册表中,就能随Windows重启而启动,既隐蔽又长久。
利用注册表的无文件恶意软件,还常常会使用脚本、shellcode,甚至加密二进制文件——因为传统终端安全机制通常缺乏仔细检查脚本的能力。由于传统终端安全扫描工具和技术,大多专注在已知及未知恶意软件样本的静态文件分析上,无文件攻击就能在相当长的时期内不被发现。
基于文件的恶意软件和无文件恶意软件的主要区别,在于其组件的存储及执行的位置和方式。由于网络罪犯已能绕过文件扫描技术并保持驻留和隐秘性,无文件恶意软件的流行度逐年上升。
投放机制
虽然两种攻击类型都依赖同样的投放机制,比如被感染的电子邮件附件,或者利用浏览器或常用软件漏洞的偷渡式下载;无文件恶意软件却往往基于脚本,且能利用现有合法应用程序来执行指令。比如说,附在恶意Word文档中的PowerShell脚本,就能被Windows原生工具PowerShell自动执行。其指令可以将受害系统的详细信息发给攻击者,或者下载本地传统安全解决方案检测不到的经混淆攻击载荷。
其他可能案例还包括恶意URL:一旦点击,就会重定向用户到利用Java漏洞执行PowerShell脚本的网站。因为脚本本身仅仅是一系列合法指令——就算这些指令可能下载并在内存中直接执行二进制代码,那也是合法指令;传统文件扫描式终端安全机制就不会检测此类威胁。
这种神出鬼没的威胁往往针对特定组织和公司,秘密渗漏数据。
下一代终端防护平台
下一代终端防护平台,通常指的是将分层安全——也就是基于文件的扫描和行为监视,与机器学习技术和威胁检测沙箱技术结合到一起的安全解决方案。某些技术只依赖机器学习算法作为单独一层防御。其他终端防护平台,则使用涉及多个机器学习强化安全层的检测技术。此类情况下,算法就集中在检测高级复杂威胁的执行前、执行中和执行后三个阶段的表现。
当下常见的错误之一,是将机器学习作为能检测任何类型威胁的独立安全层来看待。依赖仅采用机器学习的终端防护平台,强化不了企业的整体安全态势。
机器学习算法是用来强化安全层的,不是要替代它们。比如说,垃圾邮件过滤,就可以通过使用机器学习模型来予以增强,对基于文件的恶意软件的检测,也可以使用机器学习来评估未知文件是否恶意。
考虑到新攻击方法,强烈建议下一代终端安全平台能抵御利用未修复已知漏洞的攻击工具及技术,当然,已知漏洞更要能防护住。
需要指出的是,传统基于特征码的技术尚未死亡,也不应该被抛弃。它们是很重要的一个安全层,因为它们可以快速准确地验证文件是否恶意。特征码、行为分析和机器学习安全层的融合,可以打造出全面的安全解决方案,不仅能够处理已知恶意软件,还能对付未知威胁,可大幅提升企业的整体安全态势。这种安全技术的全面整合,不仅仅可以增加网络罪犯的攻击成本,还能让安全团队深入了解自家企业常被哪些类型的威胁盯上,又该怎样准确地进行缓解。