帳號:
密碼:
CTIMES/SmartAuto / 新聞 /
攻擊程式碼隱藏在記憶體中 勒索軟體與遠端存取代理最常見
 

【CTIMES/SmartAuto 籃貫銘 報導】   2021年03月07日 星期日

瀏覽人次:【1373】
  

Sophos日前發表一種新的防禦方式,可以防範惡意分子試圖載入無檔案型惡意軟體、勒索軟體和遠端存取代理程式到已遭感染電腦的臨時記憶體。

已遭入侵電腦的記憶體區域是惡意軟體普遍的藏身之處,因為安全掃描不會檢查記憶體。因此,很難偵測和阻止這種類型的惡意軟體。惡意分子試圖安裝到記憶體中的惡意軟體類型包括勒索軟體和遠端存取代理程式。遠端存取代理程式是其餘攻擊的跳板,因此越早發現和阻止它們越好。

Sophos 研究人員建立一種根據行為來防禦記憶體中此類惡意軟體的方法。他們發現,無論類型或用途為何,攻擊程式碼在記憶體中的行為都是相同的。

‧ 與安裝在主記憶體中的一般軟體應用程式不同,攻擊程式碼會被插入到記憶體的某一部分,稱為「堆積」(heap)。堆積可為應用程式提供額外的記憶體空間,以進行儲存或解壓縮程式碼等操作。

‧ 惡意分子會以數個階段新增攻擊程式碼。首先,他們將一個稱為「載入程式」的小檔案插入到堆積記憶體中。然後,載入程序會要求額外的堆積記憶體空間來滿足主要裝載的需求。主要裝載可能是像 Cobalt Strike 這樣的遠端存取代理程式。接著,它要求為這些額外記憶體配置「執行」權限,以便執行惡意軟體。

Sophos 研究人員設計了一種實用的保護措施,可以阻止執行權限從一個堆積記憶體轉到另一個堆積記憶體。這項保護稱為「動態 Shellcode 保護」。

Sophos 工程總監 Mark Loman 表示:「防止攻擊者入侵已經遭駭的網路是全球安全從業人員的目標。這個目標非常重要,因為一旦被安裝遠端存取代理程式,它就可以成為跳板,協助攻擊中絕大多數的主動攻擊策略。包括執行、使用憑證、升級權限、探索網路、橫向移動、收集、滲透和發布勒索軟體。

「這些惡意使用的程式碼會經過大幅模糊和封裝,然後直接載入到記憶體中,以躲避偵測。安全工具不會定期掃描電腦記憶體,因此即使對程式碼解模糊、解壓縮和解封裝,也經常無法偵測出來。

Sophos 發現它們有一個特徵:『堆積-堆積』記憶體配置,在多階段遠端存取代理程式和其他載入記憶體的攻擊程式碼中很常看到這個特徵,Sophos 並且已經對此提供保護措施。」

關鍵字: Sophos 
相關新聞
雙重勒索軟體攻擊連續五天 Sophos揭露過程與安全建議
遠距成為新常態 升級家用Wi-Fi安全的五大要點
Sophos:目標型勒索軟體攻擊將持續
Sophos任命新亞太及日本區副總裁
Sophos:IT安全人員必須再調整策略和防禦措施
comments powered by Disqus
相關討論
  相關新品
Arduino Motor Shield
原廠/品牌:RS
供應商:RS
產品類別:PC Board
mbed
原廠/品牌:RS
供應商:RS
產品類別:PC Board
Arduino
原廠/品牌:RS
供應商:RS
產品類別:PC Board
  相關產品
» 2021漢諾威工業博覽會 igus推出模組化變速箱套件助cobot創新
» 助USB系統差異化 Microchip推出開放原始碼的電力傳輸軟體整合
» u-blox拓展IoT通訊覆蓋 推出400MHz安全LTE-M和NB-IoT模組
» 凌華推出EtherCAT模組 為工業自動化提供完整EtherCAT解決方案
» ADI推出16通道混合訊號前端數位轉換器 加速整合參考設計
  相關文章
» 「飛行輸送技術」為廠房輸送與進料系統帶來新洞見
» 全球瘋車電 宜特以一條龍服務助業者攻克驗證挑戰
» 保護自動駕駛汽車(AV)控制電路
» USB協會公告新測項,你知道RFI測試如何進行嗎?
» 使用可靠的隔離式ADC有效控制三相感應馬達
  相關資源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw