模塊化遠程訪問特洛伊木馬使用複雜的技術來繞過檢測
最新
08-14
IBM方面稱,安全研究人員發現了一種新的模塊化遠程訪問木馬,稱為寄生蟲HTTP,使用複雜的技術來逃避安全軟體的檢測。
在2018年7月,Proofpoint觀察了地下網路市場上模塊化RAT的銷售報價。研究人員監控了一個電子郵件攻擊活動,該活動使用人力資源(HR)分發列表來誘騙收件人打開看似Microsoft Word簡歷和簡歷的內容。附件包含惡意宏,一旦宏病毒被啟用,則會從遠程站點下載RAT。
Parasite HTTP採用了一系列繞過技術,包括利用睡眠常式檢查沙箱並延遲執行,並跳過關鍵緩衝區的分配,以便在檢測到沙箱時發生崩潰。
寄生蟲HTTP RAT只是導致惡意軟體激增的眾多威脅之一。根據Minerva實驗室的數據,2017年檢測到86%的漏洞攻擊套件和85%的惡意有效載荷採用了逃避防惡意軟體檢測技術,包括內存注入(48%),惡意文檔文件(28%)和環境測試(24%)。
同樣,在2018年第一季度,軟體即服務(SaaS)提供商Cyren介紹98%的惡意軟體採用了至少一種繞過規避策略,而32%至少使用了六種繞過規避技術。
如何抵禦逃避遠程訪問木馬?
易受攻擊的惡意軟體樣本對組織構成了重大威脅,因為它們可以在許多傳統安全解決方案下繞過。為了幫助企業網路抵禦這些威脅,IBM安全專家建議保持防病毒解決方案的最新狀態,掃描環境以獲取已知的危害指標(IoC),並使應用程序和操作系統在最新公開發布的補丁中運行。
安全專家還建議安全團隊使用網路釣魚情報來抵制寄生蟲HTTP和其他繞過惡意軟體等高級威脅的傳播。
※黑客通過惡意軟體感染超過21萬台MikroTik路由器
※六月份惡意軟體之「十惡不赦」排行榜
TAG:鼎信信息安全測評 |