一级a性色生活片久久无,国产91在线播放,中国性猛交XXXX富婆,亚洲夜夜性夜综合久久

防范威脅檢測措施被繞過的4點建議

2023年10月14日

EDR(端點威脅檢測和響應)和XDR(擴展威脅檢測和響應)解決方案在幫助企業(yè)識別和減輕網(wǎng)絡(luò)攻擊威脅方面發(fā)揮了重要作用。然而,Lumu公司最新發(fā)布的《2023勒索軟件調(diào)查報告》數(shù)據(jù)顯示,由于EDR/XDR措施被突破而造成的數(shù)據(jù)泄露數(shù)量正在持續(xù)上升。攻擊者為何能夠?qū)覍业檬郑?/span>

一直以來,針對惡意軟件的檢測與繞過都是一場防守者和攻擊者之間的軍備競賽,不斷有新的技術(shù)被應用到博弈之中。研究人員發(fā)現(xiàn),目前的攻擊者正在大量使用檢測規(guī)避、漏洞利用和禁用監(jiān)控等方式來繞過EDR/XDR工具,以實施惡意攻擊。在本文中,將探討組織如何結(jié)合安全應對策略與服務,進一步加強EDR/XDR工具的可靠性,并確保網(wǎng)絡(luò)安全防護措施能夠繼續(xù)發(fā)揮出作用。

研究人員發(fā)現(xiàn),目前攻擊者用于繞過EDR/XDR防護措施的主要方法包括:


1、CPL和DLL側(cè)加載

CPL文件起初是為了在Windows操作系統(tǒng)上快速訪問控制面板中的工具而創(chuàng)建的,現(xiàn)在已經(jīng)成為不法分子隱藏惡意軟件的首選路徑之一。而動態(tài)鏈接庫(DLL)側(cè)加載技術(shù)讓攻擊者能夠誘騙應用程序加載偽造的DLL文件,而不是真實的DLL文件,從而實現(xiàn)了跨多個程序同時共享數(shù)據(jù)。

    為了進行DLL側(cè)加載攻擊,攻擊者會利用微軟應用程序的DLL搜索順序來誘騙Windows應用程序加載有害的DLL文件。通過將合法DLL換成惡意DLL使應用程序加載它,攻擊者的代碼就可以感染整個目標系統(tǒng)。


2、惡意代碼注入

攻擊者會使用代碼注入將惡意代碼嵌入到合法的應用程序或進程中,從而逃避EDR或EPP系統(tǒng)的檢測。通過在另一個活動進程的地址空間中執(zhí)行任意代碼,惡意代碼可以隱藏在合法進程的后面,因而更難被識別出來。

研究人員發(fā)現(xiàn),目前有一種流行的代碼注入技術(shù)是進程鏤空(process hollowing),即攻擊者使用Windows API的CreateProcess()函數(shù)創(chuàng)建一個處于掛起狀態(tài)的新進程。然后,該進程通過使用相關(guān)API函數(shù),從新進程的地址空間中刪除合法二進制代碼的內(nèi)存頁,從而使新進程中留下空白的地址空間。


3、用戶域API攔截

API攔截也是目前被攻擊者經(jīng)常使用的檢測繞過技術(shù),可用于監(jiān)視進程執(zhí)行和檢測更改。“攔截”實際上是截獲應用程序之間API調(diào)用的行為,這原本是專為開發(fā)人員提供的合規(guī)幫助工具,但是也為網(wǎng)絡(luò)攻擊者非法攔截應用程序提供便利,它們正在使用這種技術(shù)攔截合法API調(diào)用,并操縱它們來達到檢測繞過的目的。用戶域API攔截就是攻擊者大量采用的一種方法,用來攔截應用程序?qū)τ脩艨臻g內(nèi)的系統(tǒng)庫或API的函數(shù)調(diào)用。通過將函數(shù)調(diào)用重定向到它們各自的代碼,攻擊者可以操縱合法應用程序?qū)崿F(xiàn)其不良意圖。


4、沙箱逃逸

在新一代XDR方案中的一個常見功能就是沙箱,可以在特征碼檢測基礎(chǔ)上,從安全虛擬環(huán)境中觸發(fā)未知惡意軟件,這對防御者而言非常有用。但這種防護措施也會被攻擊者繞開,他們會將惡意軟件中添加激活惡意行為的條件,比如增加與受害者的互動,檢測自身的運行環(huán)境,又或者設(shè)置特定的觸發(fā)時間等。


5、ChatGPT工具

研究人員發(fā)現(xiàn),惡意人員會通過多形態(tài)鍵盤記錄器BlackMamba等工具,在沒有人為控制的情況下自動篡改代碼,這套工具的設(shè)計原則是基于一套自動化開發(fā)代碼規(guī)則,將C2基礎(chǔ)設(shè)施替換成復雜的自動化惡意代碼,然后將相關(guān)數(shù)據(jù)傳輸給攻擊者。隨著ChatGPT等工具的不斷完善,開發(fā)者也開始利用這些智能工具來創(chuàng)建能夠生成惡意軟件變體的代碼。這意味著傳統(tǒng)BlackMamba工具可以自動生成多個變體的惡意軟件代碼,不斷篡改自身的代碼結(jié)構(gòu)和特征,以逃避EDR/XDR(終端檢測與響應)系統(tǒng)所采用的檢測算法。這樣使BlackMamba在被檢測和阻止之前能夠保持更大程度的隱蔽性和可逃避性。

針對以上安全防護挑戰(zhàn),增強EDR/XDR系統(tǒng)的應用可靠性,研究人員給企業(yè)組織提出以下可參考建議:



江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com