模塊化遠程訪問特洛伊木馬使用複雜的技術來繞過檢測

IBM方面稱，安全研究人員發現了一種新的模塊化遠程訪問木馬，稱為寄生蟲HTTP，使用複雜的技術來逃避安全軟體的檢測。

在2018年7月，Proofpoint觀察了地下網路市場上模塊化RAT的銷售報價。研究人員監控了一個電子郵件攻擊活動，該活動使用人力資源（HR）分發列表來誘騙收件人打開看似Microsoft Word簡歷和簡歷的內容。附件包含惡意宏，一旦宏病毒被啟用，則會從遠程站點下載RAT。

Parasite HTTP採用了一系列繞過技術，包括利用睡眠常式檢查沙箱並延遲執行，並跳過關鍵緩衝區的分配，以便在檢測到沙箱時發生崩潰。

寄生蟲HTTP RAT只是導致惡意軟體激增的眾多威脅之一。根據Minerva實驗室的數據，2017年檢測到86％的漏洞攻擊套件和85％的惡意有效載荷採用了逃避防惡意軟體檢測技術，包括內存注入（48％），惡意文檔文件（28％）和環境測試（24％）。

同樣，在2018年第一季度，軟體即服務（SaaS）提供商Cyren介紹98％的惡意軟體採用了至少一種繞過規避策略，而32％至少使用了六種繞過規避技術。

如何抵禦逃避遠程訪問木馬？

易受攻擊的惡意軟體樣本對組織構成了重大威脅，因為它們可以在許多傳統安全解決方案下繞過。為了幫助企業網路抵禦這些威脅，IBM安全專家建議保持防病毒解決方案的最新狀態，掃描環境以獲取已知的危害指標（IoC），並使應用程序和操作系統在最新公開發布的補丁中運行。

安全專家還建議安全團隊使用網路釣魚情報來抵制寄生蟲HTTP和其他繞過惡意軟體等高級威脅的傳播。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！