您的防病毒軟件無法捕獲的5種端點攻擊

  • 對於網絡攻擊者來說,終點是重點
  • 這些攻擊如何規避防病毒檢測
  • 這4個關鍵步驟顯示瞭如何完成

端點是進入您的環境,您的數據,您的憑據甚至可能整個業務的入口點。 受損的端點可提供攻擊者在網絡上立足,竊取數據並可能將其保留以勒索所需的一切。 除非您保護關鍵端點(包括服務器,筆記本電腦和台式機),否則您可能會向攻擊者敞開大門。

攻擊者想出瞭如何通過無文件攻擊設計器繞過傳統的防病毒軟件,以隱藏在批准的應用程序中,甚至隱藏在操作系統本身中。

攻擊者想出瞭如何通過無文件攻擊設計器繞過傳統的防病毒軟件,以隱藏在批准的應用程序中,甚至隱藏在操作系統本身中。 因此,即使您對安裝補丁程序和推出防病毒更新保持警惕,您的組織也可能仍然處於危險之中。 繼續閱讀以了解:

  • 攻擊者如何調整其策略以逃避傳統防病毒軟件
  • 這些日益常見的攻擊如何發揮作用
  • 如何快速發展您的威脅檢測策略

傳統的防病毒軟件無法捕獲的5種攻擊

1.加密惡意軟件

加密工具將計算能力轉化為收入。 加密貨幣市場正在快速增長,挖掘加密貨幣所需的中央處理單元(CPU)的成本非常高。1因此,攻擊者製造了惡意軟件和其他攻擊,以悄悄地竊取受害者的計算資源以進行加密採礦。 方法包括:

  • 利用公開的AWS資源或AWS賬戶憑證來竊取雲計算資源,通常稱為“加密劫持”
  • 基於瀏覽器的攻擊在訪問者瀏覽合法但已被破壞的網站時起作用
  • 加密惡意軟件,通常是通過網絡釣魚活動傳遞的,它消耗了端點上的CPU

任何形式的加密礦攻擊都會對您的業務造成災難性的影響。 攻擊者可以將受到感染的端點和雲變成加密貨幣礦工的沉默殭屍大軍-所有這些都沒有一個防病毒警報。 如果沒有跨端點和公共雲的高級威脅檢測工具,您唯一的指示可能是您的計算資源被劫持,可能是應用程序或網絡性能下降或AWS發票飛漲。

2.反向PowerShell攻擊

即使在間諜小說中,每個人都知道,避免被發現的最好方法就是像您一樣行事。 隨著攻擊者越來越多地使用PowerShell和其他認可的服務來逃避傳統的防病毒軟件,攻擊者便採用了這種方法。 通過獲取管理員憑據並執行授權的管理操作,網絡攻擊者可以減少對惡意軟件和漏洞利用工具包的依賴,更容易逃避檢測,從而使數據竊取操作更加隱秘。

3.遠程桌面協議(RDP)會話插孔

遠程桌面協議(RDP)使您可以遠程連接到Windows系統,通常需要先提供用戶密碼,然後才能獲得會話訪問權限。 但是,一種繞過此漏洞的已知漏洞利用是以SYSTEM用戶身份運行tscon.exe(RDP客戶端進程),它不會提示您輸入密碼。 而且,沒有防病毒警報響起。

專家提示:端點上公開可用的RDP服務是對攻擊者的公開邀請,因此請確保默認情況下,網關防火牆策略阻止這些連接(或僅允許來自授權IP地址的連接)。

4.高級持久威脅(APT)/ rootkit

高級持續威脅(APT)涉及一系列步驟,每個步驟都可以輕鬆逃避傳統的檢測方法(我們將在下一部分中詳細介紹每個步驟)。 這些混合的威脅通常始於網絡釣魚電子郵件以捕獲憑據,然後繼續安裝惡意軟件(例如rootkit),這些惡意軟件將自身深深嵌入到端點的OS中。 一旦獲得了內核級別的root用戶訪問權限,所有賭注都將消失,系統將完全擁有。

5。 勒索

攻擊者知道如何創新。 最近的勒索軟件創新包括提供作為服務的勒索軟件,以及針對廣泛使用的公司雲應用程序。 ShurL0ckr勒索軟件是一個易於規避防病毒的示例,該軟件針對基於雲的企業文件共享平台。 一旦生成並分發了對磁盤上文件進行加密的有效負載,勒索軟件即服務使攻擊者可以向其作者支付一定比例的贖金。

這些攻擊如何規避防病毒檢測

儘管這些攻擊可能有所不同,但它們具有一些特定的特徵,有助於避免傳統的防病毒工具對其進行檢測。

儘管這些攻擊可能有所不同,但它們具有一些特定的特徵,有助於避免傳統的防病毒工具對其進行檢測。

這4個關鍵步驟顯示了它是如何完成的。

1。 交貨

基於簽名的防病毒工具會嘗試捕獲和隔離在端點上下載或執行的惡意文件。 問題在於,現代攻擊的運行方式是無需在硬盤驅動器上下載或執行惡意文件。 相反,他們利用社交工程(網絡釣魚),利用操作系統漏洞並將惡意代碼打包在外觀正常的文件中,從而規避了交付過程中的檢測。

例如,特洛伊木馬可以利用電子郵件網絡釣魚將惡意代碼作為已知的軟件宏來傳遞。 一旦攻擊者立足於受害者的端點,他們便可以使用PowerShell下載有效負載並進行傳播。 而且,由於傳統的防病毒軟件旨在查找異常文件,因此PowerShell和其他本機進程很容易在其監視下運行。

2.逃避

最好的冒犯是對自己使用系統的本機組件。 通過使用終結點計算機上已經存在的內容(例如tscon.exe,PowerShell等),網絡攻擊者可以更快地執行攻擊,同時還可以逃避防病毒檢測。

3.橫向運動

端點為攻擊者提供了進入受害者網絡的必要立足點。 一旦端點受到威脅(任何端點都將受到損害),下一步就是橫向移動網絡以查找所需的資產和目標(域管理員憑據,文件服務器等)。 一旦攻擊者獲得了域管理員憑據,他們就可以在該域內的任何位置移動,竊取和洩露數據,而防病毒軟件不會觸發單個警報。

4.蓋軌

完成骯髒的工作後,聰明的攻擊者將掩蓋他們的足跡。 借助域管理員憑據,攻擊者可以輕鬆刪除他們在該域內使用的每個端點上的日誌文件,從而避免將重要的法證證據留給調查人員。 使用一個PowerShell腳本,盜竊的所有數字痕跡都會消失-並沒有構建一個防病毒工具來注意到這一點。

要閱讀完整的下載白皮書,請執行以下操作:

每次$ 1美元

在這裡提交廣告

網絡安全媒體

訪問最新的信息技術白皮書,研究,案例研究以及涵蓋諸如IT管理,企業管理,信息管理和物聯網(IOT)等廣泛主題的更多內容。
https://websecuremedia.com/

發表評論