Malwarebytes报告最近无文件恶意软件攻击激增,并建议组织监控进程内存以防范这些威胁。那么,监控进程内存如何阻止无文件攻击,企业实践是怎样的呢?为了保护端点,最重要的是在端点上部署一些可以用作安全监视器的东西。这是指执行授权访问策略的系统组件。它在美国国防部“橙皮书”中被称为参考监视器。EndpointSecurityMonitor独立于操作系统并跟踪可能影响端点的任何不安全配置或恶意活动。Windows防病毒软件用于监控大多数端点;该软件旨在保护用户免受各种威胁,包括恶意软件、广告软件、特洛伊木马和基于文件的攻击。端点系统内存监控是组织在评估无文件恶意软件攻击时应考虑的一种安全工具,尽管它生成的数据量很大。通过监控内存,SecurityMonitor可以确定在系统上执行了哪些命令,包括使用PowerShell检测无文件恶意软件攻击。我们可以监视系统上正在执行的操作的内存——无论开始执行恶意代码的程序是什么——以识别潜在的有害操作,例如配置为在登录时执行的程序或脚本,或者当端点持续更改时其他相关方面。例如,如果MicrosoftWord宏正在执行复杂的PowerShell下载程序作为攻击的一部分,我们可以监控内存以检测与MicrosoftWord宏相关的活动。同样,系统内存监控会产生大量数据。但是企业可以使用策略(包括行为规则或签名)来标记可能是恶意的操作序列或访问内存的尝试。此时,系统可以生成警报供分析师调查。最终,恶意软件开发人员将找到克服这种防御的方法,部分方法是更改??用于访问内存的API以避免检测,就像他们试图操纵磁盘访问API一样。因此,端点安全供应商将需要改进其防篡改保护,以防止这些攻击禁用或绕过防病毒工具。MalwarebytesLabs最近的一份报告检查了这些无文件恶意软件攻击的演变。该实验室建议端点安全工具包括监控内存和诊断基于PowerShell的攻击的能力。如果您的端点安全工具无法抵御这些类型的攻击,请了解供应商计划何时添加这些功能或转向新产品。
