非惡意軟件不是說攻擊時(shí)真的不需要使用任何文件。而是攻擊者使用被攻擊主機(jī)中信任的系統(tǒng)程序或授權(quán)的協(xié)議來進(jìn)行的一種惡意攻擊。這種攻擊無需運(yùn)行任何惡意文件,就能達(dá)到攻擊的目的。例如,攻擊者定向發(fā)送釣魚郵件,當(dāng)你打開郵件時(shí),會(huì)調(diào)用系統(tǒng)可信程序,如PowerShell,執(zhí)行寫好的攻擊代碼,達(dá)到攻擊目的。攻擊的代碼只駐留在內(nèi)存中,無落地文件,因此殺毒軟件不會(huì)有任何響應(yīng)。杰思安全在實(shí)踐中,便遇過許多類似的案例。例如,某省氣象局,便遇到一個(gè)利用PowerShell進(jìn)行挖礦的惡意事件,攻擊者只創(chuàng)建了一個(gè)計(jì)劃任務(wù),調(diào)用PowerShell定期執(zhí)行挖礦命令,導(dǎo)致業(yè)務(wù)系統(tǒng)卡頓,而這一切攻擊者沒留下任何可疑文件。
由于非惡意軟件攻擊的強(qiáng)大破壞力和隱蔽性,被越來越多的黑客使用。在2018年全球網(wǎng)絡(luò)攻擊中,有超過40%的攻擊者便采用了這種方式。據(jù)Malwarebytes發(fā)布的報(bào)告稱,非惡意軟件攻擊正在迅速飆升,平均每3個(gè)感染中就有1個(gè)是非惡意軟件攻擊造成的。
面對(duì)如此神出鬼沒的攻擊,我們應(yīng)采取哪些措施?當(dāng)傳統(tǒng)防御手段失效時(shí),還能利用什么方式來保護(hù)企業(yè)?如何盡快發(fā)現(xiàn)非惡意軟件攻擊的蹤跡?基于大量的成功實(shí)踐經(jīng)驗(yàn),杰思認(rèn)為快速檢測(cè)及響應(yīng)(EDR),是一個(gè)有效并可靠的辦法,能彌補(bǔ)傳統(tǒng)安全軟件的不足。用戶可以從評(píng)估、監(jiān)測(cè)、響應(yīng)幾個(gè)方面入手。
威脅追蹤關(guān)聯(lián)分析
有些安全威脅能在用戶網(wǎng)絡(luò)中隱匿數(shù)月甚至數(shù)年。再隱匿的威脅,總會(huì)留下蛛絲馬跡,因而需要檢查和追蹤當(dāng)前與歷史事件進(jìn)行綜合安全關(guān)聯(lián)分析。從時(shí)間軸維度,對(duì)事件發(fā)生期間主機(jī)內(nèi)各項(xiàng)變化進(jìn)行匯總關(guān)聯(lián)分析,還原事件全貌,找出隱匿威脅。用戶必須使用能夠識(shí)別歷史攻擊跡象的工具,如可疑的文件、網(wǎng)絡(luò)訪問、注冊(cè)表項(xiàng)、用戶登錄、異常命令等。
賬戶監(jiān)控與資產(chǎn)清點(diǎn)
賬戶監(jiān)視和管理可以通過提高工作環(huán)境的可見性,以檢測(cè)和防止未經(jīng)授權(quán)的訪問活動(dòng)。防止由此導(dǎo)致的數(shù)據(jù)丟失,允許權(quán)限用戶控制數(shù)據(jù)訪問權(quán),讓用戶實(shí)時(shí)了解訪問權(quán)限是否被不當(dāng)授予。資產(chǎn)清點(diǎn)顯示網(wǎng)絡(luò)上正在運(yùn)行的計(jì)算機(jī),允許用戶有效部署安全體系結(jié)構(gòu),以確保沒有惡意系統(tǒng)在內(nèi)網(wǎng)環(huán)境運(yùn)行。幫助安全和IT運(yùn)營商區(qū)分環(huán)境中的托管資產(chǎn)、非托管資產(chǎn)和不可管理資產(chǎn),并采取適當(dāng)措施提高整體安全性。
異常命令監(jiān)控
聰明的攻擊者會(huì)利用PowerShell、svchost等系統(tǒng)自身進(jìn)程,執(zhí)行命令行達(dá)到挖礦、操控主機(jī)等目的,此類攻擊沒有落地的惡意程序,采用傳統(tǒng)的文件檢測(cè)甚至行為檢測(cè)的方式無法捕獲任何攻擊信息。可采用記錄windows系統(tǒng)中如cmd、PowerShell等進(jìn)程執(zhí)行的命令操作,并根據(jù)異常命令規(guī)則庫判斷其是否為有威脅的異常命令,并進(jìn)行阻斷實(shí)現(xiàn)防御。
