勒索病毒和恶意软件最容易藏身的五个地方

释放双眼,带上耳机,听听看~!

走近卡巴斯基(二)

前     言 杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

虽然许多网络罪犯在几分钟或更短的时间内完成数据扫描,但是其他人更喜欢采用一种长期的方法来获取受保护的信息。

近来,高级可持续性威胁(APT)、勒索病毒和其他复杂犯罪的激增,表明隐藏良好的病毒绝对是值得警惕的。 最新的安全威胁的特征是它们能够在公司的网络上长时间保持未被发现。在某些情况下,罪犯多年来都没有被注意到。 IT专业人员需要为新一代的恶意软件和勒索软件做准备,这些软件很微妙,但很危险。

下面我们一起回顾APT、勒索软件和其他复杂的恶意软件可以隐藏在您的网络中的位置,以及如何准备保护您的组织。 

恶意软件和勒索软件可能隐藏的地方 

1、关键系统文件 

高度复杂的恶意软件可以隐藏的最危险和无害的地方之一是你的关键系统文件。传统上,可以通过数字签名的方式用于替换或修改现有关键系统文件,许多恶意软件文件由在已签名文件的属性可认证字段(ACT)中可见的外部签名或元数据来区分。 最近有国外的安全研究人员发现签名不再是万无一失的。现在,网络犯罪分子已经发现如何在不修改ACT的情况下通过将恶意软件隐藏在签名文件中来完成“文件速记”。 虽然高度复杂的网络罪犯使用的文件速记技术可以绕过大多数传统的检测方法,但仍有一些痕迹。使用除了特征码改变之外还能够检测文件大小或内容的变化的技术,可以检测这些负面的变化。

 2、注册表 

一些恶意软件会修改Windows注册表键,以便在“自动运行”之间建立位置,或者确保每次启动操作系统时都启动恶意软件。InfoWorld的Roger A.Grimes在2015年写道,现在绝大多数恶意软件修改注册表密钥,作为确保长期驻留于网络中的一种模式。 手动检查Windows注册表项以检测异常是一项艰巨的任务。理论上需要将日志文件与成千上万的自动运行设置进行比较。虽然存在一些可能的捷径,但是通常使用文件完整性监视解决方案最有效地确定对注册表键的修改。 

走近卡巴斯基(五)

前     言 杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

三、临时文件夹 

操作系统包含一组临时文件夹,其范围从Internet缓存到应用程序数据。这些文件是操作系统的固有部分,允许系统处理和压缩信息以支持用户体验。本质上,这些临时文件夹通常是缺省可写的,以便所有用户能够进行互联网浏览、创建Excel电子表格和其他常见活动。 由于这些临时文件夹固有的松散安全性,一旦罪犯通过网络钓鱼、rootkit漏洞或其他方法进入您的系统,它就成为恶意软件和赎金软件的常见着陆点。随机软件和恶意软件可以使用临时文件夹作为启动台,以便立即执行,或通过权限提升和其他模式,在公司的网络内建立各种其他据点。

 4、LNK文件 

也被称为“快捷方式”,可能包含到恶意软件或充斥赎金软件的网站的直接路径,或者更危险的是可执行文件。很可能,您的员工在桌面上有很多这样的途径,以便于访问常访问的Web应用程序和其他工具。 恶意软件和赎金软件都可以通过巧妙伪装的.lnk文件下载后在系统中获得支持,该文件可能类似于现有的快捷方式,甚至无害的PDF文档。不幸的是,由于文件的LNK方面没有明显显示,很多最终用户无法区分。 

5、Word文件 

即使是比较低级的垃圾邮件过滤器也有足够的智慧来识别.exe文件可能是恶意的。然而,很多网络犯罪分子已经意识到了这种做法,并且正在利用MicrosoftOfficeVBA在Word文档宏中插入赎金代码。这种特殊风格的“锁定赎金软件”立即输入临时文件,并执行对数据和赎金软件需求的锁定。

保护你的组织免受偷偷摸摸的恶意软件和勒索病毒是否有可能通过手动检查Windows注册表密钥、.lnk文件的危险性教育和其他安全措施来保护您的组织免受恶意软件和赎金勒索病毒勒索的可能,但这肯定不是最务实的方法。今天最危险的网络犯罪攻击比以往任何时候都更可能看起来像你公司网络的正常、无辜的组成部分,甚至在训练有素的人眼里也是如此。 今天的安全环境要求更智能、更有效的解决方案来监视文件的所有方面,而不仅仅是签名和表面现象。

注:本文翻译自国外某技术论坛的一篇文章,略有修改。

欢迎扫描二维码关注:大兵说安全

本文源自微信公众号:大兵说安全

难道这就是近期医院屡受攻击的原因?

最近一个月的时间,我们屡屡收到医院用户被攻击导致电脑大规模蓝屏或者无法连接到服务的情况出现。 我们的技术工程师在现在处理后,发现都是来自同一个攻击Intrusion.W32.MS17-010,我也专门写过一篇文章:《小心,一大波病毒来袭!!》,很多人问我一个问题

人已赞赏
安全工具

防黑必备技能之端口篇(1)

2019-10-14 17:29:53

安全工具

走近卡巴斯基(二)

2019-10-14 17:29:59

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索