《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 零日惡意軟件創(chuàng)下歷史新高

零日惡意軟件創(chuàng)下歷史新高

2021-07-25
來(lái)源:安全牛
關(guān)鍵詞: 零日惡意

微信圖片_20210725210836.jpg

  WatchGuard的最新報(bào)告顯示,在2021年第一季度檢測(cè)到的威脅中有74%是零日惡意軟件——那些在被利用時(shí)無(wú)法被基于簽名的防病毒解決方案所檢測(cè)的,且不能夠被傳統(tǒng)的殺軟工具查殺的惡意軟件。

  “2021年第一季度零日惡意軟件檢測(cè)率創(chuàng)下歷史新高。逃避檢測(cè)的惡意軟件的比率實(shí)際上已經(jīng)超過(guò)了傳統(tǒng)威脅的比率,該動(dòng)向表明,企業(yè)需要讓自己的防御措施領(lǐng)先于日益復(fù)雜的威脅行為者的攻擊手段?!盬atchGuard的CSO Corey Nachreiner指出。

  “僅靠傳統(tǒng)的反惡意軟件解決方案不足以應(yīng)對(duì)當(dāng)今的威脅環(huán)境。每個(gè)企業(yè)都需要一個(gè)多層次、主動(dòng)的安全策略,包括機(jī)器學(xué)習(xí)和行為分析的技術(shù)手段,以檢測(cè)和阻止未知的高級(jí)威脅?!?/p>

  無(wú)文件惡意軟件變種大受歡迎

  XML.JSLoader是一種惡意負(fù)載,首次出現(xiàn)就位于惡意軟件檢測(cè)數(shù)量榜首的位置,也是第一季度通過(guò)HTTPS檢查中最常檢測(cè)到的變體。

  在已識(shí)別出的樣本中,發(fā)現(xiàn)上述惡意軟件使用XML外部實(shí)體 (XXE)攻擊打開shell來(lái)運(yùn)行命令以繞過(guò)本地PowerShell執(zhí)行策略,并以非交互式方式運(yùn)行,對(duì)實(shí)際用戶或受害者隱藏,這是無(wú)文件惡意軟件日益流行,同時(shí)導(dǎo)致市場(chǎng)對(duì)高級(jí)端點(diǎn)檢測(cè)和響應(yīng)功能需求持續(xù)增長(zhǎng)的主要因素。

  簡(jiǎn)單的文件名技巧可幫助黑客通過(guò)將勒索軟件加載程序Zmutzy偽裝成合法的PDF附件,是第一季度排名前二的加密惡意軟件變種。典型的是與Nibiru勒索軟件相關(guān)聯(lián),受害者通常會(huì)以電子郵件的壓縮文件附件或從惡意網(wǎng)站下載的方式遭遇此威脅。運(yùn)行zip文件會(huì)下載一個(gè)可執(zhí)行文件,但在受害者看來(lái),它是一個(gè)合法的PDF。

  攻擊者使用逗號(hào)而不是文件名中的句點(diǎn)和手動(dòng)調(diào)整的圖標(biāo)將惡意zip文件作為PDF傳遞。這種類型的攻擊凸顯了網(wǎng)絡(luò)釣魚教育和培訓(xùn)的重要性,以及在此類變體引發(fā)勒索軟件感染的情況下實(shí)施備份解決方案的重要性。

  物聯(lián)網(wǎng)設(shè)備持續(xù)受到攻擊

  雖然Linux.Ngioweb.B變種沒(méi)有進(jìn)入第一季度的前10名惡意軟件列表,但它最近已被攻擊者用來(lái)攻擊物聯(lián)網(wǎng)設(shè)備,首次是針對(duì)運(yùn)行WordPress的Linux服務(wù)器以擴(kuò)展格式語(yǔ)言(EFL)文件的形式出現(xiàn)。該惡意軟件的另一個(gè)版本將物聯(lián)網(wǎng)設(shè)備變成了一個(gè)帶有命令和控制服務(wù)器的僵尸網(wǎng)絡(luò)。

  網(wǎng)絡(luò)攻擊激增20%以上

  檢測(cè)到超過(guò)400萬(wàn)次網(wǎng)絡(luò)攻擊,比上一季度增長(zhǎng)21%,是2018年以來(lái)的最高數(shù)量。盡管企業(yè)轉(zhuǎn)向遠(yuǎn)程和混合工作模式,但公司服務(wù)器和現(xiàn)場(chǎng)資產(chǎn)仍然是攻擊者的高價(jià)值目標(biāo),因此企業(yè)需要維護(hù)辦公環(huán)境安全,并以用戶為中心進(jìn)行安全防護(hù)。

  目錄遍歷攻擊技術(shù)卷土重來(lái)

  在第一季度檢測(cè)到一個(gè)新的威脅簽名特征,它通過(guò)CAB文件進(jìn)行目錄遍歷攻擊,CAB文件是一種Microsoft設(shè)計(jì)的存檔格式,用于無(wú)損數(shù)據(jù)壓縮和嵌入式數(shù)字證書。

  作為前10名網(wǎng)絡(luò)攻擊列表中的新成員,利用傳統(tǒng)技術(shù)誘使用戶打開惡意CAB文件,或通過(guò)欺騙連接網(wǎng)絡(luò)的打印機(jī)欺騙用戶通過(guò)受損的CAB文件安裝打印機(jī)驅(qū)動(dòng)程序。

  HAFNIUM提供零日惡意威脅的響應(yīng)策略

  上個(gè)季度,微軟報(bào)告說(shuō),攻擊者利用Exchange Server版本中的四個(gè)HAFNIUM漏洞來(lái)獲得完整的、未經(jīng)身份驗(yàn)證的系統(tǒng)遠(yuǎn)程代碼執(zhí)行以及對(duì)暴露于Internet的任何未打補(bǔ)丁的服務(wù)器的任意文件寫入訪問(wèn)權(quán)限,就像大多數(shù)電子郵件服務(wù)器一樣。

  攻擊者在加密貨幣活動(dòng)中選擇合法域

  第一季度,與加密貨幣挖礦威脅相關(guān)的幾個(gè)受感染的惡意域被阻止。由于最近加密貨幣市場(chǎng)的價(jià)格飆升以及攻擊者可以輕松地從毫無(wú)戒心的受害者那里竊取資源,使Cryptominer惡意軟件變得越來(lái)越流行。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。