手機裡有病毒的9個跡象
目录:
无文件恶意软件 对于大多数人来说可能是一个新名词,但安全行业多年来一直都知道这一点。今年早些时候,全球超过140家企业受到这种无文件恶意软件的袭击 - 包括银行,电信和政府机构。正如名称所解释的,无文件恶意软件是一种在流程中不使用任何文件的恶意软件。但是,一些安全公司声称,无文件攻击在妥协主机中留下了一个小二进制文件来启动恶意软件攻击。这类攻击在过去几年中出现了显着增长,并且比传统的恶意软件攻击风险更高。
无文件恶意软件攻击
无文件恶意软件攻击也称为 非恶意软件攻击。他们使用一套典型的技术来进入您的系统,而不使用任何可检测到的恶意软件文件。在过去的几年中,攻击者变得更聪明,并且已经开发出许多不同的方式来发起攻击。
无文件恶意软件感染计算机,在本地硬盘上没有任何文件,避开了传统的安全和取证工具
这种攻击的独特之处在于使用了一种复杂的恶意软件,该软件完全驻留在受损机器的内存中,而不会在机器的文件系统上留下痕迹。无文件恶意软件允许攻击者逃避基于静态文件分析(反病毒)的大多数端点安全解决方案的检测。微软表示,无档案恶意软件的最新进展表明,开发人员的注意力从隐瞒网络操作转移到在受害者基础设施内执行横向移动期间避免检测。
无文件恶意软件驻留在 随机存取存储器 的计算机系统,并且没有防病毒程序直接检查内存 - 所以它是攻击者入侵PC并窃取所有数据的最安全模式。即使是最好的防病毒程序有时也会漏掉内存中运行的恶意软件。
一些最近感染全世界计算机系统的无文件恶意软件感染包括:Kovter,USB Thief,PowerSniff,Poweliks,PhaseBot,Duqu2等。
无文件恶意软件如何工作
无文件恶意软件进入 内存 时,可以部署您的本机和系统管理Windows内置工具,如 PowerShell , SC.exe 和 netsh.exe 运行恶意代码并获得对系统的管理访问权限,以执行命令并窃取您的数据。无文件恶意软件有时也可能隐藏在Windows操作系统的 Rootkit 或 注册表 中。
入侵攻击者使用Windows缩略图缓存来隐藏恶意软件机制。但是,恶意软件仍然需要一个静态二进制文件才能进入主机,而电子邮件是最常用的介质。当用户点击恶意附件时,它会在Windows注册表中写入加密的有效载荷文件。
无文件恶意软件也被称为使用 Mimikatz 和 Metaspoilt 等工具来注入将代码写入PC的内存并读取存储在那里的数据。这些工具可帮助攻击者更深入地侵入您的PC并窃取您的所有数据。
行为分析和无文件恶意软件
由于大多数常规防病毒程序使用特征码来识别恶意软件文件,因此无文件恶意软件很难检测。因此,安全公司使用行为分析来检测恶意软件。这个新的安全解决方案旨在解决以前的攻击和用户和计算机的行为。如果没有端点解决方案可以检测到无文件恶意软件,则行为分析将检测到任何异常行为,例如可疑登录活动,异常工作时间或使用任何非典型资源。此安全解决方案在用户使用任何应用程序,浏览网站,玩游戏,在社交媒体上进行交互等会话期间捕获事件数据。
无文件恶意软件只会变得更聪明,更普遍。微软表示,基于常规签名的技术和工具将难以发现这种复杂的,隐形导向的恶意软件。
如何防范和检测无文件恶意软件
遵循以下基本预防措施来保护Windows计算机:
应用所有最新的Windows更新 - 尤其是安全更新到您的操作系统。
- 确保所有已安装的软件已修补并更新为最新版本
- 使用可以有效扫描您的安全产品计算机内存,并阻止可能托管漏洞的恶意网页。
- 在下载任何电子邮件附件之前请小心。这是为了避免下载有效负载。
- 使用强大的防火墙,可以让您有效地控制网络流量。
- 如果您需要阅读有关此主题的更多信息,请转至Microsoft,并查看此白皮书。