网络安全可以跟上吗?恶意软件和防病毒软件的未来

恶意软件和防病毒软件的未来将成为一个有趣的战场。恶意软件不断发展,迫使防病毒开发人员保持同步。但是,自动机器学习反黑客系统的未来愿景远比您想象的要近。

事实上,未来就在这里。

它也正及时到来。一系列新的无文件恶意软件正在感染全球的政府机构,企业和银行。无文件恶意软件基本上是看不见的。曾经是国家威胁者的唯一职责,现在它已成为主流。

该恶意软件已经足够先进,以至于像您这样的普通用户我也不必担心。至少暂时是这样。尽管如此,对于未来几年的安全需求仍存在清晰的认识。

机器学习防病毒软件

英国网络安全公司Darktrace的Antigena是一种机器学习的反黑客系统自动化工具。用外行的话来说,是防病毒软件可以在接触新数据时进行学习。在这种情况下,Antigena用于搜寻公司系统上的奇怪行为模式。某些攻击比其他攻击更容易发现。

在英国投票决定退出欧盟后,Antigena发现了一家公司的异常行为。一名员工对雇主的英国退欧策略(“英国"和“退出"的象征)不满,试图泄漏机密文件。 Antigena可以跟踪威胁,还可以使响应自动化。

机器学习系统代表Darktrace的又一个进步。该系统可以真正学习,尽管某些攻击比其他攻击更容易阻止。例如,勒索软件攻击“看起来像是炸弹爆炸了",而内部人员攻击则微妙得多。

主要区别在于响应时间。 Antigena在感染的早期阶段就注意到了攻击,从而阻止了勒索软件攻击来加密文件。 DarkTrace技术总监Dave Palmer解释说:“我们开始中断这类攻击。"到了人类甚至传统的端点安全套件做出响应的时候,都为时已晚。

机器学习的防病毒解决方案尚未得到广泛应用。家庭用户的防病毒产品现在可以定期使用启发式扫描。启发式方法不是扫描特定的文件签名,而是分析可疑特征和行为模式。启发式分析的主要目的是在攻击开始之前就抵御攻击,这与Antigena相当。

像Antigena这样的高级机器学习解决方案很可能不会长时间冲击家用计算机。它太复杂,太强大了。数学原理和高级环境扫描已经过滤掉,迫使家庭防病毒提供商重新考虑他们的开发策略。

这正在推动渐进的,自动化的安全设计。

什么是无文件恶意软件?

还有什么在推动渐进式防病毒设计?

无文件恶意软件是一种相对较新的但非常规的攻击媒介。无文件恶意软件感染仅存在于系统RAM或内核中,而不依赖于直接安装到系统硬盘驱动器上。无文件恶意软件利用了一系列渗透策略来渗透系统,同时仍然完全未被检测到。这是攻击如何发生的一个示例:

  • 用户通过垃圾邮件强制使用浏览器访问网站。
  • 已加载Flash。
  • Flash调用并使用PowerShell插入基于内存的命令。
  • PowerShell静默连接到命令和控制(C2)服务器以下载恶意的PowerShell脚本。
  • 该脚本查找敏感数据并将其返回给攻击者。

    • 在整个过程中没有文件下载。隐身程度令人印象深刻。

    无文件攻击不会留下任何痕迹,除非攻击者疏忽大意-阅读我们的下一部分-或想要找到文件,就像名片一样。

    此外,无文件恶意软件为攻击者提供了宝贵的资源:时间。随着时间的流逝,攻击者会针对高价值目标部署复杂的多层攻击。

    您是否曾经梦见过梦about以求的钱从自动柜员机中倾泻而出?好吧,一支俄罗斯黑客团队做到了这一点,从至少8台ATM机中解放了80万美元。看起来非常简单。

    一个人走到自动取款机上。自动取款机分发一大笔现金。该名男子走开了,大概是对自己新发现的财富感到满意。强迫自动取款机按需分配现金并不是什么新招。但是,使用的几乎无纸化跟踪方法是。

    卡巴斯基实验室报告说,攻击者留下了一个日志文件,为研究人员提供了重要的调查线索。

    “基于日志文件的内容,他们能够创建YARA规则-YARA是一种恶意软件研究工具;基本上,他们提出了对公共恶意软件存储库的搜索请求。他们使用它来尝试寻找原始的恶意软件样本,经过一天的搜索,他们得出了一些结果:一个名为tv.dll的DLL,到那时在野外已经被发现了两次,一次是在俄罗斯,一次是在哈萨克斯坦。

    攻击者已经在银行安全系统中安装了后门。然后,他们从银行基础设施内的ATM上安装了恶意软件。该恶意软件看起来像是合法更新,无法触发任何警告。攻击者运行一个远程命令,该命令首先询问机器中有多少现金,然后触发分配机器。

    — Mustafa AFYONLUOGLU? (@afyonluoglu)2017年4月11日

    这笔钱发放了。黑客变富了。同时,该恶意软件开始清理操作,删除所有可执行文件并清理对ATM所做的任何更改。

    防范无文件恶意软件

    无文件恶意软件首次出现时,它进行了清理。目标系统运行非常缓慢。早期的示例编码效率低下。这样,由于目标系统会停顿下来,因此更容易发现它们。当然,这种情况不会持续很长时间,无文件恶意软件感染非常难以缓解。但是,这并非不可能。

  • 更新。始终保持所有更新。发现并修补漏洞。据US-CERT称,通过定期修补,“ 85%的定向攻击都是可以预防的"。
  • 教育。无文件恶意软件将通过受感染的站点或网络钓鱼电子邮件到达。仔细研究如何在垃圾邮件噪声中发现网络钓鱼电子邮件。
  • 防病毒软件。有关防病毒软件消亡的谣言被大大夸大了。最新的防病毒软件可能会阻止与命令和控制服务器的通信,从而阻止无文件恶意软件感染,并下载其脚本有效载荷。

    • 最大的收获是保持系统更新 。当然,存在零日漏洞。但是,尽管成为头条新闻,但它们仍然是例外-不是规则。

    蒸蒸日上

    企业防病毒解决方案已经在考虑恶意软件的未来。取得的进步将渗透到保护您和我的消费产品上。不幸的是,此过程有时会很慢,但正在朝基于行为的防病毒方式迈出重要一步。

    类似地,无文件恶意软件正在进入主流,但仍是黑客手册中的专用“工具"。由于此类无文件恶意软件仅用于高价值目标,但请放心,恶意的黑客将确保其在我们的计算机上传播。

    恶意软件正在不断发展。您认为我们的防病毒产品足以保护我们吗?还是应该对用户进行培训?在下面让我们知道您的想法!

    图片来源:ktsdesign / Shutterstock

    标签: 防病毒 计算机安全 恶意软件 在线安全