病毒藏身之处

近来,高级持续性威胁(APT)、勒索病毒和其他复杂犯罪的激增,表明隐藏良好的病毒绝对是值得警惕的。 最新的安全威胁的特征是它们能够在公司的网络上长时间保持不被发现,在某些情况下,罪犯一直都没有被注意到。 IT专业人员需要为新一代的恶意软件和APT的攻击做准备,这些软件很不起眼,但很危险。

接下来,就让我们一起回顾APT、勒索软件和其他复杂的恶意软件可以隐藏在您网络中的位置,以及如何保护您的组织。

1. 关键系统文件

高度复杂的恶意软件可以隐藏的最危险和无害的地方之一是你的关键系统文件。传统上,可以通过数字签名的方式用于替换或修改现有关键系统文件,许多恶意软件文件由在已签名文件的属性可认证字段(ACT)中可见的外部签名或元数据来区分。 最近有国外的安全研究人员发现签名不再是万无一失的。

现在,网络犯罪分子已经发现如何在不修改ACT的情况下通过将恶意软件隐藏在签名文件中来完成“文件速记”。 虽然高度复杂的网络罪犯使用的文件速记技术可以绕过大多数传统的检测方法,但仍有一些痕迹。使用除了特征码改变之外还能够检测文件大小或内容的变化的技术,可以检测这些负面的变化。

2. 注册表

一些恶意软件会修改Windows注册表键,以便在“自动运行”之间建立位置,或者确保每次启动操作系统时都启动恶意软件。InfoWorld的Roger A.Grimes在2015年写道,现在绝大多数恶意软件修改注册表密钥,作为确保长期驻留于网络中的一种模式。手动检查Windows注册表项以检测异常是一项艰巨的任务。理论上需要将日志文件与成千上万的自动运行设置进行比较。虽然存在一些可能的捷径,但是通常使用文件完整性监视解决方案最有效地确定对注册表键的修改。