志在指尖
用双手敲打未来

如何检测无文件恶意软件攻击?

Malwarebytes报告称最近无文件歹意软件攻击飙升,并倡议企业监控进程内存以抵御这些要挟。那么,监控进程内存如何阻止无文件攻击以及企业的最佳做法是什么?
关于维护端点,最重要的是在端点部署可作为平安监控器的东西,这是指执行受权访问战略的系统组件,在美国国防部“橙皮书”中被称为参考监控器。
端点平安监控器独立于操作系统,并跟踪可能影响端点的任何不平安配置或歹意活动。Windows防病毒软件用于监控大多数端点;该软件旨在维护用户免受各种要挟,包括歹意软件、广告软件、特洛伊木马和基于文件的攻击。云
企业在评价无文件歹意软件攻击时,端点系统内存监控是应该思索的平安工具,虽然它会产生大量数据。
经过监控内存,平安监控器可肯定在系统上执行了哪些命令,包括检测运用PowerShell的无文件歹意软件攻击。我们可监控内存以寻觅正在系统上执行的某个操作–不论开端执行歹意代码的程序是什么,以辨认潜在有害的操作,例如程序或脚本被配置为在登录时执行或在端点更改与持续性相关的其他方面。例如,假如MicrosoftWord宏在执行复杂PowerShell下载程序作为攻击的一个阶段,我们可经过监控内存以检测与MicrosoftWord宏相关的活动。
同样,系统内存监控可能产生大量数据。但企业能够运用战略(包括行为规则或签名)来标志动作序列或尝试访问可能是歹意的内存。此时,该系统能够为剖析师生成警报以停止调查。
最终,歹意软件开发人员将找到办法来克制这种防御,局部是经过改动用于访问内存的API来防止检测,就像他们试图支配磁盘访问API一样。这样的话,端点平安供给商将需求改良其防窜改维护措施,以避免这些攻击禁用或绕过防病毒工具。
近日Malwarebytes实验室发布的报告主要在研讨这些无文件歹意软件攻击的演化。该实验室倡议,端点平安工具应包括监视内存的功用,以及诊断基于PowerShell攻击的功用。假如你的端点平安工具无法抵御这些类型的攻击,请肯定供给商何时方案添加这些功用或转移到新产品。

未经允许不得转载:IT技术网站 » 如何检测无文件恶意软件攻击?
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 

志在指尖 用双手敲打未来

登录/注册IT技术大全

热门IT技术

C#基础入门   SQL server数据库   系统SEO学习教程   WordPress小技巧   WordPress插件   脚本与源码下载