2、研究人员警告“非恶意软件”威胁呈上升趋势
标题:Defending Against The Rising Threat of "Non-malware" Attacks
作者信息:December 22, 2016 By Kevin Townsend
//BEGIN
Severe non-malware attacks and ransomware are the two stand-out malicious behaviors of 2016. When combined, as they have been with the PowerWare extortion, the attack can be both dangerous and difficult to detect.
一安全公司的2016年度威胁报告显示:非恶意代码(即采用正常的方式)攻击以及勒索软件是2016年威胁的突出表现形式。这使得一些攻击既危险而且难以检测。
检测这些的方法可以分为两种情况:
第一类:不能只检查文件,还应该检查进程以及运行进程之间的调用关系。一些PowerShell的命令行很长而且采用Base64等编码,这就非常可疑的。关于进程之间的 关系:如果一个Word进程调用Powershell也是很可疑的。当然传统的安全检测只是查看单个运行的程序或者进程,缺乏进程之间的互相关联的监控与分析。
第二类是查看脚本的执行情况:如果一个Powershell开始运行,应该继续监测其后续的运行情况,以确认是否正常。如果它试图在短时间内访问大量的具有一定特征的文件类型的话或者试图往外通讯或者联系的话,那么这些迹象表明很可能正在进行勒索的加密过程。
//END
But as a rule of thumb, the more the user can whitelist processes -- and Johnson and Carbon Black are big supporters of whitelisting -- the stronger will be the defense. As an example, suggested Johnson, "If it is known that the only valid use of PowerShell is a particular script from IT that runs at a set time each night to update applications across the system, then this can whitelisted and allowed, and all other uses of PowerShell will automatically be blocked." In this scenario, PowerWare wouldn't even get out of its macro.
PowerShell本身只是一个脚本工具,完全禁止也不行,这样就可以根据用户的使用场景来设置白名单的条件:比如每日的固定时间点或者时间段正常会进行升级等各种例行操作,那么就可以将此条件设置为白名单。
其他的运行一概禁止。这也是一个保证安全的手段。
//下载:
16_1214_Carbon_Black-_Threat_Report_Non-Malware_Attacks_and_Ransomware_FINAL.pdf
(1.33 MB, 下载次数: 43)
文件名 :16_1214_Carbon_Black-_Threat_Report_Non-Malware_Attacks_and_Ransomware_FINAL.pdf
文件大小:1,397,572 bytes
MD5 : 660DBA3B48BF43E0A5178FFB314EF3F0
点评:Carbon Black收购了以前的Bit9,因此白名单是其推崇的首选防护方案就不足为奇了。 |