因違反終端保護措施而導致的數據泄露數量持續上升。
為什么攻擊者經常成功?
根據波耐蒙研究所2018年端點安全風險狀況報告,
63%的IT安全專業人士認為,過去一年攻擊的頻率有所增加。
52%的受訪者表示,不可能阻止所有的攻擊。他們的反病毒解決方案只阻止了43%的攻擊。
64%的受訪者表示,他們的公司至少經歷過一次導致數據泄露的終端攻擊。
該報告基于對660名IT安全專業人士的調查,發現大多數受訪者(70%)表示,
他們的公司面臨的新威脅和未知威脅有所增加,違規的平均成本從500萬美元上升到710萬美元。
但幾乎每臺電腦都有某種形式的保護。
為什么攻擊者仍然能夠滲透?以下是攻擊者用來繞過端點保護措施的主要方法列表。
1. 基于腳本攻擊
基于腳本的攻擊,也被稱為“無文件”攻擊,涉及惡意軟件,
它只是在現有的合法應用程序中執行腳本,可以利用PowerShell或其他已安裝的Windows組件。
由于沒有在系統中安裝新軟件,許多傳統的防御措施都可以被繞過。
Ponemon的研究表明,此類攻擊極有可能造成數據泄露,且比例逐年上升,
2017年占所有攻擊類型的30%,去年這一比例上升至35%。
這種攻擊幾乎沒有留下痕跡,沒有物理惡意二進制文件供防病毒軟件掃描。
可能有一些網絡流量可以被安全系統捕獲。
但攻擊者也可以對這些通信進行加密,并使用可信的通信路由悄悄泄露數據。
賽門鐵克今年早些時候發布的《互聯網安全威脅報告》指出,
在過去一年中,惡意PowerShell腳本的使用量增加了1000%。
攻擊者可以通過執行人類無法直接讀取的指令(例如base64編碼的指令)來使用PowerShell。
PowerShell現在被廣泛使用,使其成為攻擊者幾乎無處不在的工具。
捕獲此類攻擊的關鍵是尋找執行異常操作的普通應用程序的實例。
例如,如果跟蹤環境中最近執行的1,000條指令,則可能要查找出現次數少于5次的指令。
這樣做通常會出現異常指令——通常是惡意指令。
2. 在流行的基礎設施上托管惡意站點
許多安全平臺通過防止用戶點擊惡意鏈接來防御網絡釣魚攻擊。
例如,安全平臺可能會檢查特定的IP地址是否與其他惡意軟件攻擊相關聯。
但如果攻擊者在Azure或谷歌云上托管惡意網站,
這些惡意網站就不會被列入黑名單,因為它們的基礎設施被廣泛使用。
3. 投毒法律應用及實用程序
每個企業都有許多員工可以使用的第三方應用程序、工具和實用程序。
如果攻擊者入侵開發這些工具的公司,滲透升級功能,或潛入開源項目的代碼庫,他們就可以植入后門和其他惡意程序
一旦惡意軟件成功進入目標系統,它通常會連接回命令和控制(C&C)服務器以獲取下一步操作的指令,
或者使用C&C服務器泄露數據。如果C&C服務器托管在合法平臺上,則可以成功偽裝通信通道。
此外,這些服務通常具有內置加密功能。甚至在線照片分享網站也可以被用作攻擊的一部分。
攻擊者創建社交媒體賬戶,上傳包含隱藏代碼或指令的照片。
惡意軟件可以內置訪問帳戶的預設操作,查看最近的照片,
從中提取隱藏的指令,然后執行這些指令。
對于IT部門和企業安全團隊來說,所有跡象都表明有員工在瀏覽社交媒體。
以這種方式悄悄進行的惡意操作很難被抓住。
即使是最新一代的端點保護技術也無法抵御模仿正常用戶行為的攻擊者。
為了防御此類攻擊,防御者需要尋找在不尋常時間發生的“正常”通信,
或者應用程序被通常不使用它的部門使用的實例。
使用隱寫術隱藏照片中的指令的技術也可用于隱藏照片附件中的指令。
今年5月,ESET發布了一份關于Turla LightNeuron的微軟Exchange郵件服務器后門的報告,
稱LightNeuron使用電子郵件與C&C服務器進行通信,
并將發送和接收的信息隱藏在圖像附件中。比如PDF或JPG。
域之盾軟件,作為互聯網優秀的終端安全管理產品,可以保護您終端安全和終端數據。
最新內容
關注公眾號
Copyright ? 河北中視新研軟件開發有限公司 All Rights Reserved
工信部備案號:冀ICP備20019903號-1