网络犯罪分子使用规避技术来逃避侦查,尤其是在脚本的上下文中,这种技术尤其普遍,因为脚本本身具有合法的用途(例如,在计算机系统上自动化进程)。不幸的是,脚本也可以用于恶意目的,恶意脚本不太可能被一般的反恶意软件解决方案检测或阻止。这就是为什么网络犯罪分子比以往任何时候都更多地转向基于脚本的攻击和其他规避性恶意软件(如Emotet)。
虽然Emotet是使用脚本作为其规避策略一部分的威胁的一个例子,但组织需要了解许多其他类型的基于脚本的规避技术,以确保其系统的安全。
生活在陆地上的二进制文件(“LoLBins”)是Windows系统中已经存在的默认应用程序,网络犯罪分子可能会滥用这些程序来执行常见的攻击步骤,而无需将其他工具下载到目标系统上。例如,罪犯可以使用LoLBins创建重启后的持久性,访问联网设备,绕过用户访问控制,甚至提取密码和其他敏感信息。
在Windows操作系统中有许多本机的棒棒糖可以被罪犯使用,例如。,父进程, certutil.exe、regsvr32.exe等。这是网络犯罪分子掩饰其活动的方式之一,因为默认操作系统应用程序不太可能被反恶意软件解决方案标记或阻止。除非您对这些进程正在执行的确切命令有很强的可见性,否则很难检测来自LoLBins的恶意行为。
脚本内容模糊处理
内容“混淆”隐藏了脚本的真实行为。虽然混淆也有合法的目的,但在规避攻击的上下文中,混淆使分析脚本的真实性质变得困难。屏幕截图显示了一个模糊处理代码的示例(顶部),以及其去模糊处理的版本(底部)。
无文件和逃避执行
使用脚本,可以在不需要文件的情况下在系统上执行操作。可以编写一个脚本来分配系统上的内存,然后将外壳代码写入该内存并将控制权传递给该内存。这意味着恶意功能在没有文件的情况下在内存中执行,这使得检测感染源并阻止感染变得极其困难。
但是,对于无文件执行,当计算机重新启动时,内存会被清除。这意味着无文件感染的执行可以通过重启系统来停止。
不出所料,网络犯罪分子总是在研究新的方法来确保持久性,即使是在使用无文件威胁的情况下。一些示例包括在计划任务、LNK文件和Windows注册表中存储脚本。
如何保护自己
好消息是,windows10操作系统现在包含了微软的反恶意软件扫描接口(AMSI),以帮助打击日益增长的恶意和模糊脚本的使用。这意味着,要确保组织的安全,首先要做的事情之一就是确保所有Windows设备都使用最新的操作系统版本。
此外,还有其他几个步骤可以帮助确保有效和有弹性的网络安全战略:
尽管黑客不断创新和创新使得逃避战术变得普遍,但了解其战术运作的框架,网络安全和IT专业人士可以设计更有效的防御措施,以抵御最顽固的攻击者。再加上专注于整体网络、端点和用户保护以及客户数据恢复的网络弹性文化,企业可以从任何威胁中恢复过来。
怎么样防黑客!!
你先重装下系统.去电脑成买,一片5快装完后,防火开着,那些杀毒软件也要下不要下那些金山,.瑞星,江民,都没用都是靠广告,去下载个外国的偌顿.然后关闭一些端口,象3389.135.4489.都关掉135很多人都开的,我交你怎么关..:打开控制面板 -> 管理工具 -> 组件服务双击组件服务的计算机, 出现我的电脑图标, 右键属性,将默认属性的在此计算机上启用分布式COM的勾去掉,默认协议中删除 TCP/IP 协议MSDTC 中客户端网络协议配置改为 SPX.确定并重新启动系统即可.全部由我拼的,,,我要复制,我死全家,,,
怎样防止黑客木马攻击电脑?
1、监控,杀毒,防御2、关端口3、学会网络安全4、严于规范上网5、具有一定黑客知识6、更新补丁,知道最新漏洞防御方法
怎么样才能很好预防黑客攻击
九、防范木马程序木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。 ● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。 ● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。 十、不要回陌生人的邮件有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。 所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。 做好IE的安全设置ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。 所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。 IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。 谨慎些总没有错!另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。 不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更多的选择,并对本地电脑安全产生更大的影响。 下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入,打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。 无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。 将它的安全NT_USER\Software\等级设定高些,这样的防范更严密。
发表评论