网络犯罪分子使用规避技术来逃避检测,尤其是在脚本的上下文中,这种情况特别普遍,因为脚本本身具有合法用途(例如,在计算机系统上自动化进程)。不幸的是,脚本也可以用于恶意目的,而恶意脚本不太可能被一般的反恶意软件解决方案检测到或阻止。这就是为什么网络罪犯比以往任何时候都更加转向基于脚本的攻击和其他规避恶意软件(如Emotet)。虽然Emotet是使用脚本作为其规避策略一部分的威胁示例,但组织需要了解许多其他类型的基于脚本的规避技术,以确保其系统安全。Live-on-the-Land二进制文件(“LoLBins”)是Windows系统上已经存在的默认应用程序,网络犯罪分子可以滥用这些程序来执行常见的攻击步骤,而无需将其他工具下载到目标系统上。例如,犯罪分子可以使用LoLBins在重启后创建持久性、访问联网设备、绕过用户访问控制,甚至提取密码和其他敏感信息。Windows操作系统中有许多本地棒棒糖可供犯罪分子使用,例如。、父进程、certutil.exe、regsvr32.exe等。这是网络犯罪分子掩饰其活动的方式之一,因为默认操作系统应用不太可能被反恶意软件解决方案标记或阻止。除非您对这些进程正在执行的确切命令有很强的可见性,否则很难检测到来自LoLBins的恶意行为。脚本内容混淆内容“混淆”隐藏了脚本的真实行为。虽然混淆也有合法的目的,但在规避攻击的情况下,混淆使得难以分析脚本的真实性质。显示混淆代码示例(顶部)及其去混淆版本(底部)的屏幕截图。无文件和执行规避使用脚本,无需文件即可在系统上执行操作。可以编写一个脚本来在系统上分配内存,然后将shellcode写入该内存并将控制权传递给它。这意味着恶意功能是在没有文件的情况下在内存中执行的,这使得检测感染源并阻止它变得极其困难。但是,使用无文件执行时,内存会在计算机重新启动时被清除。这意味着可以通过重新启动系统来停止无文件感染的执行。毫不奇怪,网络犯罪分子一直在研究新的方法来确保持久性,即使在使用无文件威胁时也是如此。一些示例包括将脚本存储在计划任务、LNK文件和Windows注册表中。如何保护自己好消息是,Windows10操作系统现在包括Microsoft的反恶意软件扫描接口(AMSI),以帮助对抗日益增多的恶意和模糊脚本的使用。这意味着要确保组织安全,您可以做的第一件事就是确保所有Windows设备都使用最新的操作系统版本。此外,还有其他几个步骤可以帮助确保有效且有弹性的网络安全策略:使所有应用程序保持最新状态——过时的软件可能包含犯罪分子希望利用的漏洞。定期检查所有Windows和第三方应用程序的更新以降低风险禁用宏和脚本解释器-虽然宏具有合法应用程序,但大多数家庭或企业用户不太可能需要它们。如果您或其他员工下载了指示您启用宏以查看它的文件,请不要这样做。这是网络犯罪分子用来将恶意软件带入您的系统的另一种常见规避策略。IT管理员应确保完全禁用宏和脚本解释器,以帮助防止基于脚本的攻击。删除未使用的第三方应用程序——通常不需要Python和Java等应用程序。如果有未使用的,只需删除它们以帮助弥补一些潜在的安全漏洞教育最终用户-网络犯罪分子专门设计攻击以利用最终用户的信任、天真、恐惧和普遍缺乏技术或安全专业知识。教育最终用户了解网络攻击的风险、如何避免这些风险以及何时以及如何向IT报告这些风险可以极大地改善组织的整体安全态势及其网络弹性,使用端点安全提供多层保护以抵御受损威胁,包括文件基于的、无文件的、混淆的和加密的威胁。虽然黑客不断创新和创新以使规避策略变得普遍,但了解他们的策略运行的框架可以让网络安全和IT专业人员设计更有效的防御措施来抵御最顽固的攻击者。再加上专注于整体网络、端点和用户保护以及客户数据恢复的网络弹性文化,企业可以从任何威胁中恢复。
