账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
攻击程式码隐藏在记忆体中 勒索软体与远端存取代理最常见
 

【CTIMES / SMARTAUTO ABC_1 报导】    2021年03月07日 星期日

浏览人次:【2840】

Sophos日前发表一种新的防御方式,可以防范恶意分子试图载入无档案型恶意软体、勒索软体和远端存取代理程式到已遭感染电脑的临时记忆体。

已遭入侵电脑的记忆体区域是恶意软体普遍的藏身之处,因为安全扫描不会检查记忆体。因此,很难侦测和阻止这种类型的恶意软体。恶意分子试图安装到记忆体中的恶意软体类型包括勒索软体和远端存取代理程式。远端存取代理程式是其馀攻击的跳板,因此越早发现和阻止它们越好。

Sophos 研究人员建立一种根据行为来防御记忆体中此类恶意软体的方法。他们发现,无论类型或用途为何,攻击程式码在记忆体中的行为都是相同的。

· 与安装在主记忆体中的一般软体应用程式不同,攻击程式码会被??入到记忆体的某一部分,称为「堆积」(heap)。堆积可为应用程式提供额外的记忆体空间,以进行储存或解压缩程式码等操作。

· 恶意分子会以数个阶段新增攻击程式码。首先,他们将一个称为「载入程式」的小档案??入到堆积记忆体中。然後,载入程序会要求额外的堆积记忆体空间来满足主要装载的需求。主要装载可能是像 Cobalt Strike 这样的远端存取代理程式。接着,它要求为这些额外记忆体配置「执行」权限,以便执行恶意软体。

Sophos 研究人员设计了一种实用的保护措施,可以阻止执行权限从一个堆积记忆体转到另一个堆积记忆体。这项保护称为「动态 Shellcode 保护」。

Sophos 工程总监 Mark Loman 表示:「防止攻击者入侵已经遭骇的网路是全球安全从业人员的目标。这个目标非常重要,因为一旦被安装远端存取代理程式,它就可以成为跳板,协助攻击中绝大多数的主动攻击策略。包括执行、使用凭证、升级权限、探索网路、横向移动、收集、渗透和发布勒索软体。

「这些恶意使用的程式码会经过大幅模糊和封装,然後直接载入到记忆体中,以躲避侦测。安全工具不会定期扫描电脑记忆体,因此即使对程式码解模糊、解压缩和解封装,也经常无法侦测出来。

Sophos 发现它们有一个特徵:『堆积-堆积』记忆体配置,在多阶段远端存取代理程式和其他载入记忆体的攻击程式码中很常看到这个特徵,Sophos 并且已经对此提供保护措施。」

關鍵字: Sophos 
相关新闻
Sophos宣布新任总裁暨代理执行长
「全球网路安全日」重要性今胜於昔
Sophos:许多勒索软体集团蓄意发动远端加密攻击
Sophos:勒索软体集团利用媒体美化形象
Sophos:预期将出现使用AI的攻击技术并做好侦测准备
comments powered by Disqus
相关讨论
  相关文章
» ChipLink工具指南:PCIe® 交换机除错的好帮手
» 创新光科技提升汽车外饰灯照明度
» 以模拟工具提高氢生产燃料电池使用率
» 掌握石墨回收与替代 化解电池断链危机
» SiC MOSFET:意法半导体克服产业挑战的颠覆性技术


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BTE082ZQSTACUK9
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: [email protected]