美国燃油管道遭受勒索攻击,问题出在哪儿?
上周六,美国最大的燃油管道运营商Colonial Pipeline遭受网络勒索攻击,导致部分IT系统停机,管道运营中断。为了预防事态进一步扩大,该公司已主动将关键系统脱机,暂时停止了所有管道的运行,以避免勒索软件的感染范围持续蔓延。
勒索软件是恶意软件攻击的一种类型,也是最常见的网络安全威胁之一,一旦被非法组织得逞,受害组织和个人的的核心数据则会被牢牢控制在对方手中。据联邦调查局互联网犯罪报告显示,每天平均有4000个勒索软件事件发生。Verizon的《 2018年数据泄露调查报告》显示,在发现的恶意软件案例中,有39%是勒索软件,仅2019年就造成了115亿美元的损失。
通常,勒索软件比较难以防护。如果是有文件的仍可以在一定程度上被基于行为和样本库的安全产品进行查杀和响应;而无文件的勒索攻击由于其可以绕过主流的安全防护产品驻留在内存中,传统安全防护产品缺乏对于底层CPU指令集与内存的实时监控,则防御难度增加了很多。截至目前,越来越多的攻击者采用这种攻击方式。而攻击者之所以选择无文件攻击是因为通过这种方式,被攻者主机上无落地的PE恶意文件,常常会驻留在内存中随着系统而自启甚至会在达到攻击目的后自我停止,这样在被攻者主机上会留下最少的犯罪痕迹,而且可以逃避或者推迟一些安全产品的检测,方便犯罪活动的进行。那么,无文件攻击应该如何防御呢?
以“隐秘”而得名
一般来讲,恶意软件攻击通常涉及到写入磁盘的恶意文件或需要交互来执行他们的恶意意图,这些特征会以一种或多种形式为感染后取证留下痕迹。但是,由于无文件攻击是内存驻留的,所以它们通常不会在执行后留下内存占用。恶意有效负载发生在RAM中,这意味着它不会向磁盘写入任何内容或借助不会被检测出异常特征的文件再通过远程无文件形式执行额外的指令,因此而得名“无文件攻击”。也正因如此,这使得基于内存的攻击比基于文件的恶意软件更难检测。
尽管攻击者不必安装代码即可发起无文件恶意软件攻击,但他们仍需要访问环境,以便他们可以修改其本机工具以达到其目的。可以通过多种方式来完成访问和攻击,例如通过使用以下方式:
- 漏洞利用套件
- 被劫持的本机工具
- 注册表恶意软件
- 内存恶意软件
- 无文件勒索软件
- 凭证被盗
无文件攻击以隐秘和微妙的方式蓬勃发展,由此引起的网络犯罪活动也越来越多,这一切归因于使用不同的无文件技术,可以逃避传统的黑名单检测和解决方案。特别是在过去的几年时间里,无文件攻击已经成为了终端安全的新威胁。
无文件恶意软件难以检测
传统的防病毒软件工具和端点检测与响应(EDR)安全平台在检测无文件威胁方面存在困难。有一些因素使无文件威胁特别难以检测和缓解:
- 首先,由于很多无文件攻击是借助系统自带工具例如Powershell等来执行,它没有可识别的代码或签名,因此传统的防病毒工具无法检测到无文件的恶意软件。
- 无文件威胁存在于系统的内存(RAM)中,这意味着通常没有可追踪的基于文件特征的数字足迹。
- 最后,由于无文件恶意软件没有遵循一定的行为模式,并且经常利用受信任的进程来掩盖恶意行为,因此依赖行为分析的EDR平台无法搜寻和暴露无文件威胁,因此无法检测到它。
与传统的恶意软件攻击相比,由于无文件攻击很难被检测到,因此在过去的一年中,无文件攻击的数量激增。根据Trend Micro’s 2019 Roundup Report,与2018年相比,2019年上半年对无文件威胁的检测量增加了265%。攻击者开始选择无文件攻击的攻击方法,以绕过基于病毒样本库、网络流量、日志、黑白名单、漏洞补丁的传统防护工具的防护。
随着新兴技术的发展,诸如无文件攻击之类的威胁和复杂威胁逐渐兴起并被利用,应对瞬息万变的环境并防范是众多企业面临的挑战。针对性的选择解决方案,可以很好的解决此类威胁问题。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
IDC:2020年全球电信市场规模为1.53万亿美元
5月13日消息,据IDC的全球半年度电信服务跟踪显示,2020年下半年,全球电信和付费电视服务市场经历了复苏,在此之前,受新冠肺炎疫情影响,带动了在线视频用户的增长。 虽然2020年的收入结果未发生明显变化,但疫情极大地改变了长期以来塑造全球电信市场的趋势。消费者固定数据服务突然成为最重要的连接类型,使在家的人们能够工作和娱乐。业务固定数据服务由于流量转移到消费者部门而暂时失去了势头,但由于受到长期合同的保护,大部分连接得以保留。移动服务支出也略有下降,原因是合同协议续签速度放缓、包外支出减少,以及旅行限制导致漫游收入大幅下降。 IDC预计,2021年全球电信服务支出将仅增长0.7%,达到1.54万亿美元。未来四年的增长将使市场到2025年突破1.6万亿美元大关。 IDC认为,由于疫情期间,远程工作、协作、在线媒体消费预计将成为日常生活的一部分,在疫情之后,连通性将成为家庭和企业更重要的资产。预计大多数国家市场将加速向FTTP访问的迁移,而随着经济复苏推动对企业业务活动云化的投资增加,企业固定数据市场将在较长时期内复苏。移动服务领域的收入增长将在一定程度上受到5G应用的推动,5G将邀请...
- 下一篇
输油管线被黑第五天,美国出现恐慌性购买,黑客真的这么厉害吗?
5月7日,美国主要成品油管道运营商Colonial Pipeline受到勒索软件攻击,被迫关闭东部沿海各州的供油关键燃油网络。 受此攻击影响,汽油期货价格上涨4%,创2014年以来新高。 此次事件造成的影响不断扩大。10日,美国汽油需求量比前一周增加了20%,当地时间11日,全美汽油零售价刷新近六年来的最高水平,各地区出现大批民众排长队购买汽油的景象。 恐慌性购买汽油,将进一步加剧供应短缺,形成恶性循环。 Colonial公司表示,力争在本周末恢复大部分管道运行。目前,美国总统拜登回应,正在调查燃油公司黑客攻击事件。 在大部分人的眼中,黑客的攻击行为,最多是让破坏计算机系统,并不会影响到现实世界,但无数个事实告诉我们,黑客早已经有能力对现实世界造成毁灭性打击。 发动此次攻击的黑客,是什么来头? 根据公开资料显示,这是一个名为“黑暗面”的新兴黑客组织的成果。近年来“黑暗面”十分活跃,他们喜欢针对已经在纳斯达克或者其他股票市场上市的公司下手。 首先,“黑暗面”会对目标公司发动勒索软件攻击,加密对方的核心资料,要求对方在限期内支付相关费用,否则这些资料将被永久性销毁。 为了进一步施压目标公司...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- Docker快速安装Oracle11G,搭建oracle11g学习环境