日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

自今年5月WannaCry 勒索軟件在全球范圍內(nèi)爆發(fā)以來(lái)，陸續(xù)出現(xiàn)Equifax遭遇大規(guī)模數(shù)據(jù)泄露事件等等，網(wǎng)絡(luò)安全形勢(shì)相當(dāng)緊迫，企業(yè)在投資新政策及安全產(chǎn)品方面壓力倍增。

然而，即便增加安全預(yù)算，仍有眾多企業(yè)擔(dān)心現(xiàn)有技術(shù)不能跟上快速變化的威脅形勢(shì)。企業(yè)尤其擔(dān)心越來(lái)越多攻擊會(huì)取得企業(yè)系統(tǒng)訪問(wèn)權(quán)，偷偷感染系統(tǒng)，而無(wú)需下載惡意程序或留下明顯的蹤跡，這就是所謂的“無(wú)文件攻擊”。

“無(wú)文件攻擊”也被稱為“非惡意軟件攻擊”。這類攻擊的行動(dòng)底線在于利用受害者企業(yè)的受信任軟件和系統(tǒng)工具躲避檢測(cè)。此類攻擊很快便成為IT和安全專家亟待解決的首要威脅。

企業(yè)高層應(yīng)了解以下五大關(guān)鍵知識(shí)點(diǎn)：

1. “無(wú)文件”攻擊主要利用傳統(tǒng)端點(diǎn)

傳統(tǒng)意義上講，網(wǎng)絡(luò)攻擊涉及惡意軟件，攻擊者利用惡意軟件訪問(wèn)受害者的電腦(通常會(huì)利用軟件漏洞或誘騙受害者下載文件等)，其后安裝具有破壞性的可執(zhí)行文件(Payload)實(shí)施攻擊。

從攻擊者的角度來(lái)看，這種方法的問(wèn)題在于易被反病毒解決方案檢測(cè)。若不安裝惡意文件，攻擊者可輕易繞過(guò)這些安全解決方案，攻擊者只需劫持其它合法的系統(tǒng)工具和受信任的應(yīng)用程序從事非法活動(dòng)。

2. 有大量“無(wú)文件”技術(shù)可供攻擊者使用

高層次的攻擊可分為兩大主要階段：初始攻擊階段(獲得目標(biāo)系統(tǒng)的訪問(wèn)權(quán))和漏洞利用后實(shí)施的攻擊活動(dòng)(攻擊者進(jìn)入系統(tǒng)后實(shí)施的活動(dòng))。

攻擊者可在這兩個(gè)階段利用“無(wú)文件”技術(shù)完成目標(biāo)，以此可躲避傳統(tǒng)、甚至下一代機(jī)器學(xué)習(xí)反病毒軟件。

為了取得初始訪問(wèn)權(quán)，攻擊者會(huì)利用漏洞利用，例如，攻擊者在Equifax數(shù)據(jù)泄露案例中利用未修復(fù)的Apache Struts漏洞執(zhí)行惡意命令。常用的“無(wú)文件”技術(shù)是利用存在缺陷的應(yīng)用程序，并將代碼注入正常的系統(tǒng)進(jìn)程，從而獲得訪問(wèn)權(quán)，并在目標(biāo)設(shè)備執(zhí)行命令，而不會(huì)被察覺(jué)。一旦完成初始攻擊，攻擊者便可濫用強(qiáng)大的系統(tǒng)管理工具(例如PowerShell、PsExec和WMI)繼續(xù)躲避檢測(cè)。由于具有合法用例，攻擊者便可隱藏在“光天化日之下”提權(quán)，在網(wǎng)絡(luò)中橫向活動(dòng)，并修改注冊(cè)表保持持久性。

3.“無(wú)文件”攻擊要借助文件實(shí)施攻擊

人們往往對(duì)“無(wú)文件”攻擊存在誤解，認(rèn)為它不會(huì)涉及文件。然而事實(shí)并非如此，此類攻擊通常會(huì)在初始攻擊階段利用文件，最大的不同之處在于這些文件并非惡意可執(zhí)行文件，而是諸如Microsoft Office文檔之類的文件。

傳統(tǒng)端點(diǎn)安全面臨的挑戰(zhàn)是，這些文件本身并不具有惡意功能，因此安全掃描就如形同虛設(shè)，這樣一來(lái)，這些文件便成了發(fā)起攻擊的完美工具。

例如，攻擊者開(kāi)始可能會(huì)誘騙企業(yè)員工打開(kāi)釣魚(yú)電子郵件中的Word文檔，而受害員工可能會(huì)無(wú)意激活其中的宏或腳本，而宏或腳本隨后會(huì)啟用PowerShell。此后，攻擊者便會(huì)使用PowerShell直接執(zhí)行內(nèi)存中的惡意代碼，從而使攻擊走向“無(wú)文件”之路。

由于此類攻擊的組件并不是惡意的，因此安全解決方案需具備能力觀察攻擊的行為鏈運(yùn)作方式，并識(shí)別來(lái)自其它合法程序的攻擊鏈何時(shí)發(fā)動(dòng)攻擊。

4. “無(wú)文件”攻擊越來(lái)越多

事實(shí)上，“無(wú)文件攻擊”技術(shù)已存在一段時(shí)間。例如， 21世紀(jì)初就出現(xiàn)了內(nèi)存漏洞利用：Code Red和SQL Slammer蠕蟲(chóng)。然而，創(chuàng)建并廣泛傳播易于使用的攻擊工具和漏洞利用工具使得“無(wú)文件”攻擊更為普遍，尤其Metasploit和PowerSploit這類滲透測(cè)試框架易被濫用，因?yàn)樗鼈兲峁┈F(xiàn)成的“無(wú)文件”漏洞利用可用來(lái)實(shí)施任何攻擊。

因此，此類技術(shù)不止限于技術(shù)高超的黑客和國(guó)家型間諜組織，普通網(wǎng)絡(luò)犯罪分子也逐漸利用大量“無(wú)文件”技術(shù)攻擊企業(yè)?！癝ANS 2017威脅形勢(shì)調(diào)查”顯示，近三分之一的被調(diào)查企業(yè)報(bào)告遭遇過(guò)“無(wú)文件”攻擊。

5. 如何阻止“無(wú)文件”攻擊?

雖然“無(wú)文件”技術(shù)善于躲避檢測(cè)，但仍有辦法降低風(fēng)險(xiǎn)。

首先，企業(yè)應(yīng)禁用不常用的管理工具?；蛑辽傧拗茩?quán)限和功能。由于眾多“無(wú)文件”技術(shù)依賴PowerShell，企業(yè)應(yīng)考慮禁用或限制它的功能。

同樣，禁用Office宏能消除“無(wú)文件”攻擊的最常用發(fā)起點(diǎn)。企業(yè)應(yīng)及時(shí)修復(fù)操作系統(tǒng)和應(yīng)用程序，修復(fù)不可行的情況下，企業(yè)應(yīng)隔離這些系統(tǒng)防止?jié)撛诠魯U(kuò)散。

企業(yè)IT部門(mén)應(yīng)識(shí)別端點(diǎn)上的惡意活動(dòng)和行為，以此檢測(cè)并阻止“無(wú)文件”攻擊。目前已有新的端點(diǎn)解決方案可實(shí)時(shí)阻止“無(wú)文件”攻擊，IT及安全高管應(yīng)研究新端點(diǎn)解決方案，選擇最適合的安全解決方案。

本文題目：“無(wú)文件攻擊”五大知識(shí)點(diǎn)
轉(zhuǎn)載來(lái)源：http://www.5511xx.com/article/ccecjcg.html