根据思科安全报告对遥测数据的最新分析,2020年上半年,最严重也最常见的端点威胁是无文件恶意软件。
所谓无文件威胁是指感染后在内存中运行的恶意代码,但并不存储在硬盘驱动器上。报告显示:Kovter、Poweliks、Divegent和LemonDuck是四个最常见的无文件恶意软件。
威胁等级排在无文件威胁之后的是流行安全工具,对端点安全来说,一个普遍的严重威胁是那些在漏洞利用前和利用后都能发挥作用的双重用途安全工具。报告显示,此类流行工具包括PowerShell Empire、Cobalt Strike、Powersploit和MetASPloit。
思科研究员本·纳霍尼在博客中写道:“虽然这些工具非常适合用于非恶意活动,例如渗透测试,但不良行为者也经常使用它们。”
凭证转储工具是第三严重的威胁类别。报告发现,在2020年上半年,攻击者从受感染计算机中窃取登录凭据最常用的工具是Mimikatz。
上述三大威胁活动预计将持续到今年下半年。美国网络安全和基础设施安全局(CISA)上周表示,已经发现攻击者在使用Cobalt Strike商业渗透测试工具攻击商业和联邦政府网络。CISA还观测到国家黑客组织成功部署了开源工具Mimikatz来窃取凭据。
关键IoC类别占比
前三个威胁类别占分析期间发现的关键严重性指标(IoC)的75%;其余25%由多种不同的恶意软件组成,包括:
在MITER ATT&CK策略框架中分析威胁
分析IoC数据的另一种方法是使用MITER ATT&CK框架中列出的战术类别。在Endpoint Security解决方案中,每个IoC都包含有关采用的MITER ATT&CK策略的信息。这些策略可以为攻击的不同部分的目标提供上下文,例如通过网络横向移动或泄露机密信息。
研究人员解释说:“多种策略可以应用于单个IoC。”例如,一个涵盖双重用途工具(如PowerShell Empire)的IoC涵盖了三种策略:
下表是每种攻击策略在IoC中的占比:
迄今为止,最常见的战术是防御性规避,占IoC警报的57%。由于攻击者经常在多阶段攻击中启动更多恶意代码,因此执行频率也很高,占41%。
“例如,使用双重用途工具建立持久性的攻击者可以通过在受感染计算机上下载并执行凭据转储工具或勒索软件来跟进。”研究者指出,在严重性较高的IoC中,执行比防御逃避更为常见。
排在第三位和第四位的是通常用来建立立足点的两种攻击策略,即初始访问和驻留,分别占到11%和12%的时间。驻留只出现在12%的IoC中。
最后,排名第五的是命令与控制通讯,在所看到的IoC中占10%。
MITER ATT&CK策略在IoC中的占比,描绘了整体威胁态势,但将MITER ATT&CK策略与严重程度的IoC相结合时,事情变得更加有趣:
按严重程度MITER ATT&CK策略分组的严重IoC
首先,在高严重性IoC中,根本看不到其中两种策略(初始访问和提取),而另外两种策略(发现和提权)则不足1%,相当于消除了三分之一的高占比策略。
有趣的是排名发生的变化。前三名保持不变,但在关键严重性IoC中执行(Execution)比防御规避更常见。按严重性过滤时,其他重要动作包括:
如何防御关键端点威胁
以上是IoC数据的简要分析。有了这些常见威胁类别和策略的信息,我们如何保护端点?以下是一些建议:
1.限制执行未知文件
如果恶意文件无法执行,将无法进行恶意活动。对允许在您环境中的端点上运行的应用程序使用组策略和/或“白名单”。这并不是说应该利用每个可用的控件来完全锁定端点——过于严格地限制最终用户权限可能会产生可用性问题。
如果您的企业将双重用途安全工具用于远程管理等活动,请严格限制允许运行该工具的账户数量,仅在需要该工具时才授予临时访问权限。
2.监控进程和注册表
注册表修改和进程注入是无文件恶意软件用来隐藏其活动的两种主要技术。监视注册表中的异常更改并查找奇怪的进程注入尝试将大大有助于防止此类威胁站稳脚跟。
3.监视端点之间的连接
密切注意不同端点之间的连接以及与环境中 服务器 的连接。研究是否有两台计算机不应该连接,或者端点是否以不正常的方式与服务器通信。这可能表明不良行为者试图在网络上横向移动。
研究者指出:“尽管上述(关键问题)在总体IoC警报中只占很小的一部分,但它们无疑是最具破坏性的。一旦发现,需要立即予以关注。此外,绝大多数警报属于中低类别,且种类繁多。”
戳这里,看该作者更多好文
求救!系统临时文件1500M删除不了,cpu使用率100%,且360无法运行,无法上网
建议用Windows优化大师,打开后选择自动优化,或者鲁大师,一键清理,绝对能删除干净,不要用360或者扫描源代码,那些清理不干净!本人一直在用那两个,绝对好用!
最近的硬件或软件可能安装了未正确签名或损坏的文件,或者可能是来自未知源的恶意软件
你好,如果你不能使用F8进入选择那个关闭签名的界面的话
那么你这个只能是重新安装的哟,你这个还是系统的启动文件来的
基本上你没有系统盘和U盘是没办法修复的啦,所以建议你还是做好找系统盘来安装的打算吧
趋势“云”和瑞星“云”有区别吗?
据资料显示,趋势科技是2002年开始研发关于Web安全的技术,投入了全球20%的资金与30%的人员在Web安全相关方面。 是全球第一个推出云安全技术的安全厂商。 而瑞星是国内第一个推出云安全的厂商。 趋势科技的云安全这项技术在于超越了拦截Web威胁的传统方法,以Web信誉(WRT)、邮件信誉技术(ERS)和文件信誉技术(FRS)为基础构建的云客户端安全架构,通过把大多数特征码文件保存到互联网云数据库中并令其在端点处保持最低数量,趋势科技得以在Web威胁到达最终用户或公司网络之前即可对其予以拦截。 这种全新的方法降低了客户网络和端点的带宽消耗,提供了更快且更全面的及时保护。 趋势科技云安全充分利用了公司诞生20年来的各种内部产品以及曾有效保护了数百万客户的托管解决方案,把反病毒战争纳入到互联网云中。 瑞星云安全的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”计划贡献一份力量,同时分享其他所有用户的安全成果。 通过将所有用户之间的木马病毒信息共享,在全网内进行木马的监测和查杀,借此瑞星也推出了“云安全”计划,期望建立一个基于互联网的安全管理平台。 “瑞星和趋势的云安全有相同的地方,都是利用互联网平台作为病毒检查的交互平台,但两者之间的差异也很多。 如卡卡6.0主要是对用户电脑系统的可疑模块自动监测,而趋势云安全则是针对网页、邮件、文件三大类在网络传输过程中的安全监测。 ”业内一位人士说。 趋势科技做了很多服务,比如说EOG,就是以云端服务的方法为户整理企业的网络环境。 我也看了一下瑞星的云安全技术,我想技术上面是有一个很大的差异的。 因为趋势科技比较强调终端,就是说终端要把病毒库变得比较轻,然后尽量把一些事情丢到后端。 我想这应该是一个安全厂商的服务理念问题,这也是最佳品牌与知名品牌的区别吧。 因为,第一是现在因为病毒太多,你终端也存储不下。 第二个,我觉得全世界的一个趋势是经济比较不景气,大家真的没钱,客户要装你的防毒软件还要加内存,资源占用肯定不能增加。 瑞星的云安全技术,本身只是强调类似于把一个档案护送的机制,这个机制趋势科技大概已经一年半以前就做了,但是更强调同样的技术应用到企业方面了,因为相对我们在个人用户端的市场比较小。 如果把一些档案往上送,我们叫做Host Discovery主动式发现服务,做了大概有一年多了。 通过对各厂商的云安全技术白皮书进行对比。 可以发现,国内厂商发布的“云安全”计划仍未突破代码比对传统技术,无法有效解决动态激增的安全威胁,响应速度仍受限于代码制作的流程性问题,无法在威胁到达之前在源端就予以阻止,仍是近身肉搏战,只是代码制作流程的优化。 同时与全球品牌相比,国内的安全厂商起步较晚,在信誉技术方面尚没有建立完整的体系,仍处于完善体系架构的阶段。 而目前,势科技“云安全(SecureCloud)”已经在全球建立了5个数据中心,台服务器,超过1000位安全专家,拥有99.9999%的可靠性。 云安全可以支持平均每天50亿笔点击查询,资料库第一次命中率就可以达到99%。
发表评论