90%-的恶意软件隐藏在加密流量 (90%恶性肿瘤能活多久)

教程大全 2025-07-18 14:59:40 浏览次

上一季度威胁趋势的分析结果表明，攻击者增加了无文件恶意软件的使用，而所有检出恶意软件中近三分之二是零日恶意软件。

企业如果尚未实现控制措施检测藏身于加密网络流量中的恶意软件，就会面临环境中广泛分布大量恶意工具，自身端点设备可能遭受攻击的风险。

WatchGuard Technologies采用从客户网络收集到的匿名数据分析研究了威胁活动。结果表明，2021年第二季度检出的恶意软件中，91.5%都涉及通过加密HTTPS连接投送。WatchGuard表示，目前只有20%的企业设置有解密和扫描HTTPS流量以发现恶意软件的检测机制，意味着其余80%的企业有可能漏掉九成日常攻击其网络的恶意软件。

WatchGuard首席安全官Corey Nachreiner表示，大部分企业没有启用基于网络的HTTPS解密控制措施的一个原因，在于他们认为这一设置十分复杂，而某种程度上讲，解密和扫描HTTPS流量也确实很复杂。

“既想发挥中间人解密的功效，又想不破坏保护流量的HTTPS证书的神圣性，就必须设置中间证书或根CA证书，这是官方证书验证过程的一部分。”

有很多种方法可以做到这一点，其中一些比较棘手，而另一些则没有那么复杂。

Nachreiner称：“简而言之，第一次这么做确实需要付出一些努力，还要创建例外规则好让机制能够运行良好，这就是为什么有些公司不愿意花费这些时间精力的原因。但我们坚信这样做是值得的，否则你的网络安全会漏掉很多风险。”

本周发布的WatchGuard报告强调了企业在恶意软件方面令人不安的趋势，其中就提到了加密恶意软件这一数据点。

例如，WatchGuard的分析显示，仅今年前六个月，基于脚本的攻击(无文件攻击)数量就已达到2020年全年总数的80%。上一季度的数据表明，相较于2020 ，今年无文件恶意软件的数量有可能翻一番。

类似加密恶意软件，无文件攻击(例如涉及使用JavaScript、PowerShell和Visual Basic的攻击)是另一种不易被某些杀毒软件(AV)工具检测到的威胁。

Nachreiner指出：“虽然情况并非总是如此，但其中许多脚本都可以设计为利用本地合法工具的攻击，这意味着端点上永远不会落下任何恶意文件。攻击者继续使用脚本和盗自受害者的权限或通过提权攻击，来推进他们的恶意活动。”

因此，以文件为中心的恶意软件检测工具可能会漏掉这些攻击。

零日恶意软件和其他趋势

零日恶意软件检出数量比上一季度下降了9%，但仍占第二季度所有恶意软件样本的64%，形势不容乐观。该数据是基于特征码的杀毒软件工具不足以应付当前威胁情况的又一明证。

Nachreiner表示：“攻击者可以自动重新打包恶意软件，这意味着投放到各个受害者系统上的同一恶意软件可能披着不一样的外衣。”

企业越来越需要机器学习模型或行为分析这样的检测技术，从而能够主动检测貌似新型的恶意软件，而不必等待杀软供应商发布恶意软件特征码。

在宏观层面，企业边界处检出的恶意软件下降了近4%，但网络攻击数量远超上一季度，激增至三年来的新高。上季度网络攻击总数达到520万次，比第一季度增长22.3%。这些数字突显了其他供应商注意到的一种趋势，即在新冠肺炎疫情迫使人们转向更分散的工作环境之后，攻击者的关注重点发生了变化。

Nachreiner说：“我们认为，这种情况就是疫情造成的，疫情期间很多知识型员工都转为在家工作了。”由于恶意软件往往针对用户接收电子邮件或浏览网页的任何地方，因此攻击者已将重点转向远程员工。

“既然员工现在都在家里办公了，恶意软件也就转战公司网络边界之外了。这就是为什么我们在边界处没有看到那么多恶意软件的原因。”。Nachreiner警告称，这并不一定意味着恶意软件的总量已经下降。这一数据仅表明端点安全产品而不是外围网络控制措施检出了大部分恶意软件。

与此同时，网络攻击者继续攻击仍部署在办公室或云端的服务器和服务。几位安全研究人员注意到，由于更多的员工(包括信息安全人员)在家办公，这些服务器和服务的防护程度大多有所降低。

什么是挂马网页

网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里网页挂马工作原理作为网页挂马的散布者，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。为达到目的首先要将木马下载到本地。面！再加代码使得木马在打开网页是运行！网页挂马常见的方式1.将木马伪装为页面元素。木马则会被浏览器自动下载到本地。 2.利用脚本运行的漏洞下载木马 3.利用脚本运行的漏洞释放隐含在网页脚本中的木马 4.将木马伪装为缺失的组件，或和缺失的组件捆绑在一起（例如：flash播放插件）。这样既达到了下载的目的，下载的组件又会被浏览器自动执行。 5.通过脚本运行调用某些com组件，利用其漏洞下载木马。 6.在渲染页面内容的过程中利用格式溢出释放木马（例如：ani格式溢出漏洞） 7.在渲染页面内容的过程中利用格式溢出下载木马（例如：flash9.0.115的播放漏洞）在完成下载之后，执行木马的方式1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马 2.利用脚本运行的漏洞执行木马 3.伪装成缺失组件的安装包被浏览器自动执行 4.通过脚本调用com组件利用其漏洞执行木马。 5.利用页面元素渲染过程中的格式溢出直接执行木马。 6.利用com组件与外部其他程序通讯，通过其他程序启动木马（例如：realplayer10.5存在的播放列表溢出漏洞）在与网马斗争的过程中，为了躲避杀毒软件的检测，一些网马还具有了以下行为： 1.修改系统时间，使杀毒软件失效 2.摘除杀毒软件的HOOK挂钩，使杀毒软件检测失效 3.修改杀毒软件病毒库，使之检测不到恶意代码。 4.通过溢出漏洞不直接执行恶意代码，而是执行一段调用脚本，以躲避杀毒软件对父进程的检测。网页挂马的检测1.特征匹配。将网页挂马的脚本按脚本病毒处理进行检测。但是网页脚本变形方、加密方式比起传统的PE格式病毒更为多样，检测起来也更加困难。 2.主动防御。当浏览器要做出某些动作时，做出提示，例如：下载了某插件的安装包，会提示是否运行，比如浏览器创建一个暴风影音播放器时，提示是否允许运行。在多数情况下用户都会点击是，网页木马会因此得到执行。 3.检查父进程是否为浏览器。这种方法可以很容易的被躲过且会对很多插件造成误报。如何防止网页被挂马(1)：对网友开放上传附件功能的网站一定要进行身份认证，并只允许信任的人使用上传程序。 (2)：保证你所使用的程序及时的更新。 (3)：不要在前台网页上加注后台管理程序登陆页面的链接。 (4)：要时常备份数据库等重要文件，但不要把备份数据库放在程序默认的备份目录下。 (5)：管理员的用户名和密码要有一定复杂性，不能过于简单。 (6)：IIS中禁止写入和目录禁止执行的功能，二项功能组合，可以有效的防止ASP木马。 (7)：可以在服务器、虚拟主机控制面板，设置执行权限选项中，直接将有上传权限的目录，取消ASP的运行权限。 (8)：创建一个上传到网站根目录。 Robots能够有效的防范利用搜索引擎窃取信息的骇客。点此查看使用方法。对于网页被挂马可以找下专业安全人士建议找(Sine安全）及时的处理会避免因为网页被挂马造成的危害。

trojan.dl.picframe.a是什么病毒？功能是什么？

特洛伊木马！

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害.