信息化觀察網(wǎng)

網(wǎng)絡(luò)犯罪分子使用規(guī)避技術(shù)來逃避偵查，尤其是在腳本的上下文中，這種技術(shù)尤其普遍，因?yàn)槟_本本身具有合法的用途(例如，在計(jì)算機(jī)系統(tǒng)上自動化進(jìn)程)。不幸的是，腳本也可以用于惡意目的，惡意腳本不太可能被一般的反惡意軟件解決方案檢測或阻止。這就是為什么網(wǎng)絡(luò)犯罪分子比以往任何時候都更多地轉(zhuǎn)向基于腳本的攻擊和其他規(guī)避性惡意軟件(如Emotet)。

雖然Emotet是使用腳本作為其規(guī)避策略一部分的威脅的一個例子，但組織需要了解許多其他類型的基于腳本的規(guī)避技術(shù)，以確保其系統(tǒng)的安全。

生活在陸地上的二進(jìn)制文件(“LoLBins”)是Windows系統(tǒng)中已經(jīng)存在的默認(rèn)應(yīng)用程序，網(wǎng)絡(luò)犯罪分子可能會濫用這些程序來執(zhí)行常見的攻擊步驟，而無需將其他工具下載到目標(biāo)系統(tǒng)上。例如，罪犯可以使用LoLBins創(chuàng)建重啟后的持久性，訪問聯(lián)網(wǎng)設(shè)備，繞過用戶訪問控制，甚至提取密碼和其他敏感信息。

在Windows操作系統(tǒng)中有許多本機(jī)的棒棒糖可以被罪犯使用，例如。，父進(jìn)程,certutil.exe、regsvr32.exe等。這是網(wǎng)絡(luò)犯罪分子掩飾其活動的方式之一，因?yàn)槟J(rèn)操作系統(tǒng)應(yīng)用程序不太可能被反惡意軟件解決方案標(biāo)記或阻止。除非您對這些進(jìn)程正在執(zhí)行的確切命令有很強(qiáng)的可見性，否則很難檢測來自LoLBins的惡意行為。

腳本內(nèi)容模糊處理

內(nèi)容“混淆”隱藏了腳本的真實(shí)行為。雖然混淆也有合法的目的，但在規(guī)避攻擊的上下文中，混淆使分析腳本的真實(shí)性質(zhì)變得困難。屏幕截圖顯示了一個模糊處理代碼的示例(頂部)，以及其去模糊處理的版本(底部)。

無文件和逃避執(zhí)行

使用腳本，可以在不需要文件的情況下在系統(tǒng)上執(zhí)行操作?？梢跃帉懸粋€腳本來分配系統(tǒng)上的內(nèi)存，然后將外殼代碼寫入該內(nèi)存并將控制權(quán)傳遞給該內(nèi)存。這意味著惡意功能在沒有文件的情況下在內(nèi)存中執(zhí)行，這使得檢測感染源并阻止感染變得極其困難。

但是，對于無文件執(zhí)行，當(dāng)計(jì)算機(jī)重新啟動時，內(nèi)存會被清除。這意味著無文件感染的執(zhí)行可以通過重啟系統(tǒng)來停止。

不出所料，網(wǎng)絡(luò)犯罪分子總是在研究新的方法來確保持久性，即使是在使用無文件威脅的情況下。一些示例包括在計(jì)劃任務(wù)、LNK文件和Windows注冊表中存儲腳本。

如何保護(hù)自己

好消息是，windows10操作系統(tǒng)現(xiàn)在包含了微軟的反惡意軟件掃描接口(AMSI)，以幫助打擊日益增長的惡意和模糊腳本的使用。這意味著，要確保組織的安全，首先要做的事情之一就是確保所有Windows設(shè)備都使用最新的操作系統(tǒng)版本。

此外，還有其他幾個步驟可以幫助確保有效和有彈性的網(wǎng)絡(luò)安全戰(zhàn)略：

使所有應(yīng)用程序保持最新–過時的軟件可能包含罪犯希望利用的漏洞。定期檢查所有Windows和第三方應(yīng)用程序的更新，以降低風(fēng)險(xiǎn)

禁用宏和腳本解釋器-雖然宏有合法的應(yīng)用程序，但大多數(shù)家庭或企業(yè)用戶不太可能需要它們。如果您或其他員工下載的文件指示您啟用宏來查看該文件，請不要這樣做。這是另一種常見的逃避策略，網(wǎng)絡(luò)犯罪分子使用這種策略將惡意軟件帶入您的系統(tǒng)。IT管理員應(yīng)確保宏和腳本解釋器完全禁用，以幫助防止基于腳本的攻擊

刪除未使用的第三方應(yīng)用程序–Python和Java等應(yīng)用程序通常是不必要的。如果存在未使用過的，只需將其移除，以幫助彌補(bǔ)一些潛在的安全漏洞

教育最終用戶——網(wǎng)絡(luò)罪犯專門設(shè)計(jì)攻擊，利用最終用戶的信任、天真、恐懼和普遍缺乏技術(shù)或安全專業(yè)知識。教育最終用戶了解網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)、如何避免攻擊、何時以及如何向IT人員報(bào)告，可以極大地改善企業(yè)的整體安全態(tài)勢及其網(wǎng)絡(luò)彈性

使用端點(diǎn)安全性，該安全性提供多層保護(hù)，防止受到威脅，包括基于文件、無文件、模糊處理和加密的威脅。

盡管黑客不斷創(chuàng)新和創(chuàng)新使得逃避戰(zhàn)術(shù)變得普遍，但了解其戰(zhàn)術(shù)運(yùn)作的框架，網(wǎng)絡(luò)安全和IT專業(yè)人士可以設(shè)計(jì)更有效的防御措施，以抵御最頑固的攻擊者。再加上專注于整體網(wǎng)絡(luò)、端點(diǎn)和用戶保護(hù)以及客戶數(shù)據(jù)恢復(fù)的網(wǎng)絡(luò)彈性文化，企業(yè)可以從任何威脅中恢復(fù)過來。