中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

對付無文件攻擊,你的主機需要獵鷹保護

2019-05-29 10:40:38   作者:   來源:CTI論壇   評論:0  點擊:


  近年來,一種被稱為無文件攻擊的滲透形式與日俱增,逐漸引起人們重視。這類攻擊從2016年初的3%上升到了2018年11月的13%, 并且還在持續(xù)增長,知名安全公司Carbon Black對超過1000名用戶(擁有超過250萬個包括服務(wù)器和PC在內(nèi)的主機)進行分析后發(fā)現(xiàn),幾乎每個組織都遭到了無文件攻擊。平均每3個感染中就有1個是無文件攻擊造成的。早在2017年4月,黑客通過新型惡意軟件 “ATMitch”,以“無文件攻擊”方式,一夜劫持俄羅斯8臺ATM機,竊走80萬美元。在今年年初,全球40個國家的140多家包括銀行、電信和政府機構(gòu)等組織遭到 “ATMitch”無文件攻擊,感染機構(gòu)遍布美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等國家。在全球經(jīng)濟和網(wǎng)絡(luò)一體化的時代,中國用戶同樣不能幸免。據(jù)悉,國內(nèi)54%的公司經(jīng)歷過1次或多次破壞了數(shù)據(jù)或基礎(chǔ)設(shè)施的成功攻擊,其中77%的攻擊利用了漏洞或無文件攻擊。
  無文件攻擊并非沒有文件
  以無文件攻擊中最常見的一類(無文件挖礦攻擊)舉例:如果用戶在點開文檔之后,電腦瞬間被卡,反應(yīng)速度緩慢,不能工作。關(guān)機重啟之后,電腦卻照樣沒反應(yīng),散熱風(fēng)扇山響,CPU資源占用了100%……殺毒軟件查不到任何異常……一旦出現(xiàn)以上情況,用戶電腦十有八九是遭到無文件挖礦攻擊。
  無文件挖礦攻擊并非沒有文件基礎(chǔ),只是因為在此類攻擊中,系統(tǒng)變得相對干凈,傳統(tǒng)的防毒產(chǎn)品識別不出,更談不上及時通知技術(shù)人員進行防御了,這就造成了這種攻擊好像沒有文件基礎(chǔ)的假象。這種無文件惡意攻擊主要是靠網(wǎng)絡(luò)的方法,在內(nèi)存里存上一串惡意代碼,沒有落地文件,這樣一來,殺毒軟件就很難發(fā)現(xiàn)其蹤跡了。
  對付無文件攻擊,傳統(tǒng)安全手段失靈
  任何惡意代碼,只要重啟電腦,內(nèi)存就清除?墒侵貑o文件攻擊沒有作用。無文件攻擊通常采用powershell.exe,cscript.exe,cmd.exe和mshta.exe運行遠程腳本,該腳本不落地到本機內(nèi),同時將該任務(wù)設(shè)置為計劃任務(wù)或者開機啟動,重啟無效。這些程序都是系統(tǒng)的合法程序,殺毒軟件自然無可奈何。無文件攻擊在成功潛入內(nèi)存并安定下來后,便可以為所欲為,或進行挖礦、加密文件進行勒索、連接遠程C&C下載更多病毒文件等。一切操作都是披著合法外衣悄悄進行,不僅獲得了權(quán)限,是合法的,而且也不大,所以幾乎不會被殺毒軟件發(fā)現(xiàn)。
  無文件攻擊的傳播迅猛
  無文件攻擊的傳播極快。以今年4月,杰思安全的某重要用戶網(wǎng)內(nèi)大面積爆發(fā)無文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內(nèi)存中執(zhí)行,沒有本地落地文件,攻擊內(nèi)置兩種橫向傳染機制,分別為Mimikatz+WMIExec自動化爆破和MS17-010“永恒之藍”漏洞攻擊,堪稱火力全開,極易在內(nèi)網(wǎng)迅猛擴散。從下圖,我們可以感受無文件無文件攻擊是有多么兇猛。
  攻擊順序如下:
  1. 首先,挖礦模塊啟動,持續(xù)進行挖礦。
  2. 其次,Minikatz模塊對目的主機進行SMB爆破,獲取NTLMv2數(shù)據(jù)。
  3. 然后,WMIExec使用NTLMv2繞過哈希認(rèn)證,進行遠程執(zhí)行操作,攻擊成功則執(zhí)行shellcode使病原體再復(fù)制一份到目的主機并使之運行起來,流程結(jié)束。
  對付無文件攻擊,主機防護是關(guān)鍵
  截止4月25日,杰思獵鷹主機安全響應(yīng)系統(tǒng)在該用戶已部署安全探針的1426臺主機上,共阻止端口掃描行為24813次,發(fā)現(xiàn)端口掃描攻擊源IP共36個;共阻止暴力破解行為2021585次,發(fā)現(xiàn)暴力破解源IP共28個。有圖為證:


  為了保護用戶安全,打碼處理
  不得不說,該用戶的內(nèi)網(wǎng)主機經(jīng)歷了一場有驚無險的圍攻,最終化險為夷,安然無恙。該用戶的員工在使用中并沒有太多異樣感覺,殊不知他們在正常工作的時候,杰思獵鷹主機安全響應(yīng)系統(tǒng)一直在默默地保駕護航。
【免責(zé)聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

相關(guān)閱讀:

專題

CTI論壇會員企業(yè)