WatchGuard的最新报告显示,在2021年第一季度检测到的威胁中有74%是零日恶意软件——那些在被利用时无法被基于签名的防病毒解决方案所检测的,且不能够被传统的杀软工具查杀的恶意软件。
“2021年第一季度零日恶意软件检测率创下历史新高。逃避检测的恶意软件的比率实际上已经超过了传统威胁的比率,该动向表明,企业需要让自己的防御措施领先于日益复杂的威胁行为者的攻击手段。”WatchGuard的CSO Corey Nachreiner指出。
“仅靠传统的反恶意软件解决方案不足以应对当今的威胁环境。每个企业都需要一个多层次、主动的安全策略,包括机器学习和行为分析的技术手段,以检测和阻止未知的高级威胁。”
无文件恶意软件变种大受欢迎
XML.JSLoader是一种恶意负载,首次出现就位于恶意软件检测数量榜首的位置,也是第一季度通过HTTPS检查中最常检测到的变体。
在已识别出的样本中,发现上述恶意软件使用XML外部实体 (XXE)攻击打开shell来运行命令以绕过本地PowerShell执行策略,并以非交互式方式运行,对实际用户或受害者隐藏,这是无文件恶意软件日益流行,同时导致市场对高级端点检测和响应功能需求持续增长的主要因素。
简单的文件名技巧可帮助黑客通过将勒索软件加载程序Zmutzy伪装成合法的PDF附件,是第一季度排名前二的加密恶意软件变种。典型的是与Nibiru勒索软件相关联,受害者通常会以电子邮件的压缩文件附件或从恶意网站下载的方式遭遇此威胁。运行zip文件会下载一个可执行文件,但在受害者看来,它是一个合法的PDF。
攻击者使用逗号而不是文件名中的句点和手动调整的图标将恶意zip文件作为PDF传递。这种类型的攻击凸显了网络钓鱼教育和培训的重要性,以及在此类变体引发勒索软件感染的情况下实施备份解决方案的重要性。
物联网设备持续受到攻击
虽然Linux.Ngioweb.B变种没有进入第一季度的前10名恶意软件列表,但它最近已被攻击者用来攻击物联网设备,首次是针对运行WordPress的Linux服务器以扩展格式语言(EFL)文件的形式出现。该恶意软件的另一个版本将物联网设备变成了一个带有命令和控制服务器的僵尸网络。
网络攻击激增20%以上
检测到超过400万次网络攻击,比上一季度增长21%,是2018年以来的最高数量。尽管企业转向远程和混合工作模式,但公司服务器和现场资产仍然是攻击者的高价值目标,因此企业需要维护办公环境安全,并以用户为中心进行安全防护。
目录遍历攻击技术卷土重来
在第一季度检测到一个新的威胁签名特征,它通过CAB文件进行目录遍历攻击,CAB文件是一种Microsoft设计的存档格式,用于无损数据压缩和嵌入式数字证书。
作为前10名网络攻击列表中的新成员,利用传统技术诱使用户打开恶意CAB文件,或通过欺骗连接网络的打印机欺骗用户通过受损的CAB文件安装打印机驱动程序。
HAFNIUM提供零日恶意威胁的响应策略
上个季度,微软报告说,攻击者利用Exchange Server版本中的四个HAFNIUM漏洞来获得完整的、未经身份验证的系统远程代码执行以及对暴露于Internet的任何未打补丁的服务器的任意文件写入访问权限,就像大多数电子邮件服务器一样。
攻击者在加密货币活动中选择合法域
第一季度,与加密货币挖矿威胁相关的几个受感染的恶意域被阻止。由于最近加密货币市场的价格飙升以及攻击者可以轻松地从毫无戒心的受害者那里窃取资源,使Cryptominer恶意软件变得越来越流行。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】