WatchGuard的最新报告显示,2021年第一季度检测到的威胁中有74%是零日恶意软件——这些恶意软件在被利用时无法被基于签名的防病毒解决方案检测到无法被传统反软件工具检测和查杀。“零日恶意软件检测在2021年第一季度创下历史新高。逃避检测的恶意软件比率实际上已经超过了传统威胁的比率,这一趋势表明组织需要在日益复杂的威胁面前保持防御WatchGuard的CSOCoreyNachreiner说。“仅靠传统的反恶意软件解决方案不足以解决当今的威胁环境。每个企业都需要一个多层次的、主动的安全策略,包括机器学习和行为分析,以检测和阻止未知的高级威胁”无文件恶意软件变种越来越受欢迎是第一季度通过HTTPS检查的最常检测到的变体。在已识别的样本中,发现上述恶意软件使用XML外部实体(XXE)攻击打开外壳运行命令以绕过本地PowerShell执行策略,并以非交互方式运行,对实际用户隐藏或受害者,这是无文件恶意软件日益流行以及对高级端点检测和响应功能的需求持续增长的主要因素。一个简单的文件名技巧帮助黑客通过将勒索软件加载程序Zmutzy伪装成合法的PDF附件,这是第一季度排名前两位的加密恶意软件变体。通常与Nibiru勒索软件相关联,受害者经常遇到这种威胁,作为电子邮件中的压缩文件附件或从恶意网站下载。运行zip文件会下载一个可执行文件,但在受害者看来却是一个合法的PDF。攻击者使用逗号而不是文件名中的句点和手动调整的图标将恶意zip文件作为PDF交付。这种类型的攻击突出了网络钓鱼教育和培训的重要性,以及在此类变体触发勒索软件感染的情况下实施备份解决方案的重要性。物联网设备继续受到攻击虽然Linux.Ngioweb.B变体没有进入第一季度的前10大恶意软件列表,但它最近被攻击者用来攻击物联网设备,首先针对运行WordPress的Linux服务器扩展格式语言(EFL))文件出现。另一个版本的恶意软件将物联网设备变成了带有命令和控制服务器的僵尸网络。网络攻击激增超过20%检测到超过400万次网络攻击,比上一季度增长21%,是2018年以来的最高数字。尽管转向远程和混合工作模式,但企业服务器和现场资产仍然具有高价值攻击者的目标,因此组织需要确保其办公环境安全并以用户为中心。目录遍历攻击技术卷土重来第一季度检测到一种新的威胁签名,它通过CAB文件进行目录遍历攻击,CAB文件是微软为无损数据压缩和嵌入式数字证书设计的一种存档格式。前10大网络攻击列表的新成员,使用传统技术诱骗用户打开恶意CAB文件,或通过受损的CAB文件诱骗联网打印机安装打印机驱动程序。HAFNIUM为零日恶意威胁提供响应策略未打补丁的服务器(如大多数电子邮件服务器)的任意文件写入访问。攻击者在加密货币活动中选择合法域第一季度阻止了几个与加密货币挖掘威胁相关的受感染恶意域。由于最近加密货币市场价格飙升以及攻击者可以轻松地从毫无戒心的受害者那里窃取资源,Cryptominer恶意软件变得越来越流行。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
