近来,高级持续性威胁(APT)、勒索病毒和其他复杂犯罪的激增,表明隐藏良好的病毒绝对是值得警惕的。 最新的安全威胁的特征是它们能够在公司的网络上长时间保持不被发现,在某些情况下,罪犯一直都没有被注意到。 IT专业人员需要为新一代的恶意软件和勒索软件的攻击做准备,这些软件很不起眼,但很危险。
接下来,就让我们一起回顾APT、勒索软件和其他复杂的恶意软件可以隐藏在您网络中的位置,以及如何保护您的组织。
1.关键系统文件
高度复杂的恶意软件可以隐藏的最危险和无害的地方之一是你的关键系统文件。传统上,可以通过数字签名的方式用于替换或修改现有关键系统文件,许多恶意软件文件由在已签名文件的属性可认证字段(ACT)中可见的外部签名或元数据来区分。 最近有国外的安全研究人员发现签名不再是万无一失的。现在,网络犯罪分子已经发现如何在不修改ACT的情况下通过将恶意软件隐藏在签名文件中来完成“文件速记”。 虽然高度复杂的网络罪犯使用的文件速记技术可以绕过大多数传统的检测方法,但仍有一些痕迹。使用除了特征码改变之外还能够检测文件大小或内容的变化的技术,可以检测这些负面的变化。
2.注册表
一些恶意软件会修改Windows注册表键,以便在“自动运行”之间建立位置,或者确保每次启动操作系统时都启动恶意软件。InfoWorld的Roger A.Grimes在2015年写道,现在绝大多数恶意软件修改注册表密钥,作为确保长期驻留于网络中的一种模式。手动检查Windows注册表项以检测异常是一项艰巨的任务。理论上需要将日志文件与成千上万的自动运行设置进行比较。虽然存在一些可能的捷径,但是通常使用文件完整性监视解决方案最有效地确定对注册表键的修改。
3.临时文件夹
操作系统包含一组临时文件夹,其范围从Internet缓存到应用程序数据。这些文件是操作系统的固有部分,允许系统处理和压缩信息以支持用户体验。本质上,这些临时文件夹通常是缺省可写的,以便所有用户能够进行互联网浏览、创建Excel电子表格和其他常见活动。 由于这些临时文件夹固有的松散安全性,一旦罪犯通过网络钓鱼、rootkit漏洞或其他方法进入您的系统,它就成为恶意软件和赎金软件的常见着陆点。随机软件和恶意软件可以使用临时文件夹作为启动台,以便立即执行,或通过权限提升和其他模式,在公司的网络内建立各种其他据点。
4.LNK文件
也被称为“快捷方式”,可能包含到恶意软件或充斥赎金软件网站的直接路径,或者更危险的可执行文件。很可能,您的员工在桌面上有很多这样的途径,以便于使用常访问的Web应用程序和其他工具。 恶意软件和赎金软件都可以通过巧妙伪装的.lnk文件下载后在系统中获得支持,该文件可能类似于现有的快捷方式,甚至无害的PDF文档。不幸的是,由于文件的LNK方面没有明显显示,很多用户无法区分。
5.Word文件
即使是比较低级的垃圾邮件过滤器也有足够的智慧来识别.exe文件可能是恶意的。然而,很多网络犯罪分子已经意识到了这种做法,并且正在利用Microsoft Office VBA在Word文档宏中插入赎金代码。这种特殊风格的“锁定赎金软件”立即输入临时文件,并执行对数据和赎金软件需求的锁定。