搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      網(wǎng)絡(luò)安全:如何采取措施避免黑客的惡意腳本?

      如意 ? 來源:今日頭條 ? 作者:墻頭說安全 ? 2020-10-08 10:04 ? 次閱讀

      網(wǎng)絡(luò)犯罪分子使用規(guī)避技術(shù)來逃避偵查,尤其是在腳本的上下文中,這種技術(shù)尤其普遍,因?yàn)槟_本本身具有合法的用途(例如,在計(jì)算機(jī)系統(tǒng)上自動(dòng)化進(jìn)程)。不幸的是,腳本也可以用于惡意目的,惡意腳本不太可能被一般的反惡意軟件解決方案檢測或阻止。這就是為什么網(wǎng)絡(luò)犯罪分子比以往任何時(shí)候都更多地轉(zhuǎn)向基于腳本的攻擊和其他規(guī)避性惡意軟件(如Emotet)。

      雖然Emotet是使用腳本作為其規(guī)避策略一部分的威脅的一個(gè)例子,但組織需要了解許多其他類型的基于腳本的規(guī)避技術(shù),以確保其系統(tǒng)的安全。

      生活在陸地上的二進(jìn)制文件(“LoLBins”)是Windows系統(tǒng)中已經(jīng)存在的默認(rèn)應(yīng)用程序,網(wǎng)絡(luò)犯罪分子可能會(huì)濫用這些程序來執(zhí)行常見的攻擊步驟,而無需將其他工具下載到目標(biāo)系統(tǒng)上。例如,罪犯可以使用LoLBins創(chuàng)建重啟后的持久性,訪問聯(lián)網(wǎng)設(shè)備,繞過用戶訪問控制,甚至提取密碼和其他敏感信息

      在Windows操作系統(tǒng)中有許多本機(jī)的棒棒糖可以被罪犯使用,例如。,父進(jìn)程, certutil.exe、regsvr32.exe等。這是網(wǎng)絡(luò)犯罪分子掩飾其活動(dòng)的方式之一,因?yàn)槟J(rèn)操作系統(tǒng)應(yīng)用程序不太可能被反惡意軟件解決方案標(biāo)記或阻止。除非您對這些進(jìn)程正在執(zhí)行的確切命令有很強(qiáng)的可見性,否則很難檢測來自LoLBins的惡意行為。

      腳本內(nèi)容模糊處理

      內(nèi)容“混淆”隱藏了腳本的真實(shí)行為。雖然混淆也有合法的目的,但在規(guī)避攻擊的上下文中,混淆使分析腳本的真實(shí)性質(zhì)變得困難。屏幕截圖顯示了一個(gè)模糊處理代碼的示例(頂部),以及其去模糊處理的版本(底部)。

      無文件和逃避執(zhí)行

      使用腳本,可以在不需要文件的情況下在系統(tǒng)上執(zhí)行操作??梢跃帉懸粋€(gè)腳本來分配系統(tǒng)上的內(nèi)存,然后將外殼代碼寫入該內(nèi)存并將控制權(quán)傳遞給該內(nèi)存。這意味著惡意功能在沒有文件的情況下在內(nèi)存中執(zhí)行,這使得檢測感染源并阻止感染變得極其困難。

      但是,對于無文件執(zhí)行,當(dāng)計(jì)算機(jī)重新啟動(dòng)時(shí),內(nèi)存會(huì)被清除。這意味著無文件感染的執(zhí)行可以通過重啟系統(tǒng)來停止。

      不出所料,網(wǎng)絡(luò)犯罪分子總是在研究新的方法來確保持久性,即使是在使用無文件威脅的情況下。一些示例包括在計(jì)劃任務(wù)、LNK文件和Windows注冊表中存儲腳本。

      如何保護(hù)自己

      好消息是,windows10操作系統(tǒng)現(xiàn)在包含了微軟的反惡意軟件掃描接口AMSI),以幫助打擊日益增長的惡意和模糊腳本的使用。這意味著,要確保組織的安全,首先要做的事情之一就是確保所有Windows設(shè)備都使用最新的操作系統(tǒng)版本。

      此外,還有其他幾個(gè)步驟可以幫助確保有效和有彈性的網(wǎng)絡(luò)安全戰(zhàn)略:

      使所有應(yīng)用程序保持最新–過時(shí)的軟件可能包含罪犯希望利用的漏洞。定期檢查所有Windows和第三方應(yīng)用程序的更新,以降低風(fēng)險(xiǎn)

      禁用宏和腳本解釋器-雖然宏有合法的應(yīng)用程序,但大多數(shù)家庭或企業(yè)用戶不太可能需要它們。如果您或其他員工下載的文件指示您啟用宏來查看該文件,請不要這樣做。這是另一種常見的逃避策略,網(wǎng)絡(luò)犯罪分子使用這種策略將惡意軟件帶入您的系統(tǒng)。IT管理員應(yīng)確保宏和腳本解釋器完全禁用,以幫助防止基于腳本的攻擊

      刪除未使用的第三方應(yīng)用程序–PythonJava等應(yīng)用程序通常是不必要的。如果存在未使用過的,只需將其移除,以幫助彌補(bǔ)一些潛在的安全漏洞

      教育最終用戶——網(wǎng)絡(luò)罪犯專門設(shè)計(jì)攻擊,利用最終用戶的信任、天真、恐懼和普遍缺乏技術(shù)或安全專業(yè)知識。教育最終用戶了解網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)、如何避免攻擊、何時(shí)以及如何向IT人員報(bào)告,可以極大地改善企業(yè)的整體安全態(tài)勢及其網(wǎng)絡(luò)彈性

      使用端點(diǎn)安全性,該安全性提供多層保護(hù),防止受到威脅,包括基于文件、無文件、模糊處理和加密的威脅。

      盡管黑客不斷創(chuàng)新和創(chuàng)新使得逃避戰(zhàn)術(shù)變得普遍,但了解其戰(zhàn)術(shù)運(yùn)作的框架,網(wǎng)絡(luò)安全和IT專業(yè)人士可以設(shè)計(jì)更有效的防御措施,以抵御最頑固的攻擊者。再加上專注于整體網(wǎng)絡(luò)、端點(diǎn)和用戶保護(hù)以及客戶數(shù)據(jù)恢復(fù)的網(wǎng)絡(luò)彈性文化,企業(yè)可以從任何威脅中恢復(fù)過來。
      責(zé)編AJX

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
      • 網(wǎng)絡(luò)安全
        +關(guān)注

        關(guān)注

        10

        文章

        3064

        瀏覽量

        59231
      • 網(wǎng)絡(luò)攻擊
        +關(guān)注

        關(guān)注

        0

        文章

        329

        瀏覽量

        23375
      • 腳本
        +關(guān)注

        關(guān)注

        1

        文章

        382

        瀏覽量

        14761
      收藏 人收藏

        評論

        相關(guān)推薦

        網(wǎng)絡(luò)安全技術(shù)商CrowdStrike與英偉達(dá)合作

        網(wǎng)絡(luò)安全技術(shù)商CrowdStrike與英偉達(dá)合作共同研發(fā)更先進(jìn)的網(wǎng)絡(luò)防御解決方案;提升CrowdStrike Falcon平臺的威脅檢測速度和準(zhǔn)確性。將通過人工智能原生平臺CrowdStrike
        的頭像 發(fā)表于 08-28 16:30 ?999次閱讀

        艾體寶干貨 IOTA流量分析秘籍第一招:網(wǎng)絡(luò)基線管理

        網(wǎng)絡(luò)基線管理是一項(xiàng)關(guān)鍵的網(wǎng)絡(luò)安全實(shí)踐,它有助于識別網(wǎng)絡(luò)中的異?;顒?dòng)并及時(shí)采取措施。本文將探討如何利用IOTA這一強(qiáng)大的工具來捕獲和分析網(wǎng)絡(luò)
        的頭像 發(fā)表于 07-02 14:53 ?215次閱讀
        艾體寶干貨 IOTA流量分析秘籍第一招:<b class='flag-5'>網(wǎng)絡(luò)</b>基線管理

        工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅有哪些

        ,隨著技術(shù)的發(fā)展,工業(yè)控制系統(tǒng)也面臨著越來越多的網(wǎng)絡(luò)安全威脅。本文將詳細(xì)介紹工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅,并提出相應(yīng)的防護(hù)措施。 惡意軟件攻擊
        的頭像 發(fā)表于 06-16 11:43 ?916次閱讀

        揭秘!家用路由器如何保障你的網(wǎng)絡(luò)安全

        家用路由器保障網(wǎng)絡(luò)安全需選知名品牌和型號,設(shè)置復(fù)雜密碼并開啟防火墻,定期更新固件,使用安全協(xié)議,合理規(guī)劃網(wǎng)絡(luò)布局,及時(shí)發(fā)現(xiàn)并處理異常。提高家庭成員網(wǎng)絡(luò)安全意識共同維護(hù)
        的頭像 發(fā)表于 05-10 10:50 ?346次閱讀

        艾體寶觀察 | 2024,如何開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

        網(wǎng)絡(luò)安全控制措施,以及評估這些控制措施的有效性,并根據(jù)需要進(jìn)行調(diào)整。此過程有助于保護(hù)公司的數(shù)據(jù)、信息和資產(chǎn),預(yù)防網(wǎng)絡(luò)攻擊,并保障公司在日益互聯(lián)的數(shù)字領(lǐng)域中的
        的頭像 發(fā)表于 04-22 14:15 ?251次閱讀

        特斯拉修補(bǔ)黑客競賽發(fā)現(xiàn)的漏洞,Pwn2Own助其領(lǐng)先安全領(lǐng)域

        作為領(lǐng)先電動(dòng)車品牌,特斯拉始終重視網(wǎng)絡(luò)安全,并且與白帽黑客建立伙伴關(guān)系。為此,特斯拉依托Pwn2Own等黑客賽事平臺,以重金獎(jiǎng)勵(lì)挖掘漏洞以彌補(bǔ)隱患。這一措施取得良好成效,數(shù)百個(gè)漏洞已在
        的頭像 發(fā)表于 03-22 11:35 ?351次閱讀

        如何對付黑客的各種網(wǎng)絡(luò)入侵手段

        在數(shù)字化時(shí)代,網(wǎng)絡(luò)安全成為了一個(gè)日益嚴(yán)峻的挑戰(zhàn)。組織不僅需要意識到潛在的網(wǎng)絡(luò)威脅,還需采取有效措施來預(yù)防和應(yīng)對這些威脅。隨著網(wǎng)絡(luò)攻擊手段的不
        的頭像 發(fā)表于 01-04 08:04 ?1179次閱讀
        如何對付<b class='flag-5'>黑客</b>的各種<b class='flag-5'>網(wǎng)絡(luò)</b>入侵手段

        網(wǎng)絡(luò)安全測試工具有哪些類型

        網(wǎng)絡(luò)安全測試工具是指用于評估和檢測系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序的安全性的一類軟件工具。這些工具可以幫助組織和企業(yè)發(fā)現(xiàn)潛在的安全漏洞和威脅,以便及時(shí)采取措施
        的頭像 發(fā)表于 12-25 15:00 ?987次閱讀

        MAC地址注冊的網(wǎng)絡(luò)安全影響和措施分析

        MAC地址注冊對網(wǎng)絡(luò)安全具有重要影響,同時(shí)也需要采取相應(yīng)的措施來應(yīng)對潛在的安全風(fēng)險(xiǎn)。以下是有關(guān)MAC地址注冊的網(wǎng)絡(luò)安全影響和應(yīng)對
        的頭像 發(fā)表于 11-16 16:19 ?844次閱讀
        MAC地址注冊的<b class='flag-5'>網(wǎng)絡(luò)安全</b>影響和<b class='flag-5'>措施</b>分析

        企業(yè)數(shù)字資產(chǎn)保護(hù):如何采取主動(dòng)措施預(yù)防內(nèi)部威脅?

        網(wǎng)絡(luò)內(nèi)部威脅已經(jīng)成為一個(gè)不可忽視的安全問題。這些威脅可能來自內(nèi)部人員、應(yīng)用程序或網(wǎng)絡(luò)設(shè)備,給組織的安全、聲譽(yù)和運(yùn)營帶來重大風(fēng)險(xiǎn)。僅僅在威脅事件發(fā)生后
        的頭像 發(fā)表于 11-04 08:04 ?350次閱讀
        企業(yè)數(shù)字資產(chǎn)保護(hù):如何<b class='flag-5'>采取</b>主動(dòng)<b class='flag-5'>措施</b>預(yù)防內(nèi)部威脅?

        介紹保護(hù)物聯(lián)網(wǎng)設(shè)備安全的11種方法

        連接到網(wǎng)絡(luò)的不安全設(shè)備會(huì)帶來許多安全風(fēng)險(xiǎn)。隨著物聯(lián)網(wǎng)設(shè)備在線連接,黑客可以利用漏洞進(jìn)行各種惡意活動(dòng),甚至利用對更廣泛
        發(fā)表于 10-24 16:03 ?300次閱讀

        使用WIFI網(wǎng)絡(luò)應(yīng)采取安全防范措施

        電子發(fā)燒友網(wǎng)站提供《使用WIFI網(wǎng)絡(luò)應(yīng)采取安全防范措施.pdf》資料免費(fèi)下載
        發(fā)表于 10-23 10:08 ?0次下載
        使用WIFI<b class='flag-5'>網(wǎng)絡(luò)</b>應(yīng)<b class='flag-5'>采取</b>的<b class='flag-5'>安全防范措施</b>

        美將采取更多措施限制對華出售芯片?

        在16日舉行的外交部例行新聞發(fā)布會(huì)上,有人提問說:“將采取措施,禁止美國半導(dǎo)體制造企業(yè)避開美國政府的限制,向中國銷售產(chǎn)品?!边@是為了彌補(bǔ)現(xiàn)有的漏洞。預(yù)計(jì)拜登政府將采取措施限制向中國銷售更多的芯片。中方對此有何反應(yīng)?
        的頭像 發(fā)表于 10-17 09:39 ?453次閱讀

        人工智能在網(wǎng)絡(luò)安全中的應(yīng)用研究

        在人工智能時(shí)代中,網(wǎng)絡(luò)安全管理制度也是提高高校網(wǎng)絡(luò)安全使用的一項(xiàng)有效措施,高校需要建立一套完善的網(wǎng)絡(luò)安全管理體系,明確網(wǎng)絡(luò)使用權(quán)限和責(zé)任,并
        發(fā)表于 10-13 15:06 ?453次閱讀

        網(wǎng)絡(luò)安全評估技術(shù)綜述

        電子發(fā)燒友網(wǎng)站提供《網(wǎng)絡(luò)安全評估技術(shù)綜述.pdf》資料免費(fèi)下載
        發(fā)表于 10-07 11:05 ?1次下載