账号:
密码:
CTIMES/SmartAuto / 新闻 /
攻击程式码隐藏在记忆体中 勒索软体与远端存取代理最常见
 

【CTIMES/SmartAuto 籃貫銘 报导】   2021年03月07日 星期日

浏览人次:【1337】
  

Sophos日前发表一种新的防御方式,可以防范恶意分子试图载入无档案型恶意软体、勒索软体和远端存取代理程式到已遭感染电脑的临时记忆体。

已遭入侵电脑的记忆体区域是恶意软体普遍的藏身之处,因为安全扫描不会检查记忆体。因此,很难侦测和阻止这种类型的恶意软体。恶意分子试图安装到记忆体中的恶意软体类型包括勒索软体和远端存取代理程式。远端存取代理程式是其馀攻击的跳板,因此越早发现和阻止它们越好。

Sophos 研究人员建立一种根据行为来防御记忆体中此类恶意软体的方法。他们发现,无论类型或用途为何,攻击程式码在记忆体中的行为都是相同的。

· 与安装在主记忆体中的一般软体应用程式不同,攻击程式码会被??入到记忆体的某一部分,称为「堆积」(heap)。堆积可为应用程式提供额外的记忆体空间,以进行储存或解压缩程式码等操作。

· 恶意分子会以数个阶段新增攻击程式码。首先,他们将一个称为「载入程式」的小档案??入到堆积记忆体中。然後,载入程序会要求额外的堆积记忆体空间来满足主要装载的需求。主要装载可能是像 Cobalt Strike 这样的远端存取代理程式。接着,它要求为这些额外记忆体配置「执行」权限,以便执行恶意软体。

Sophos 研究人员设计了一种实用的保护措施,可以阻止执行权限从一个堆积记忆体转到另一个堆积记忆体。这项保护称为「动态 Shellcode 保护」。

Sophos 工程总监 Mark Loman 表示:「防止攻击者入侵已经遭骇的网路是全球安全从业人员的目标。这个目标非常重要,因为一旦被安装远端存取代理程式,它就可以成为跳板,协助攻击中绝大多数的主动攻击策略。包括执行、使用凭证、升级权限、探索网路、横向移动、收集、渗透和发布勒索软体。

「这些恶意使用的程式码会经过大幅模糊和封装,然後直接载入到记忆体中,以躲避侦测。安全工具不会定期扫描电脑记忆体,因此即使对程式码解模糊、解压缩和解封装,也经常无法侦测出来。

Sophos 发现它们有一个特徵:『堆积-堆积』记忆体配置,在多阶段远端存取代理程式和其他载入记忆体的攻击程式码中很常看到这个特徵,Sophos 并且已经对此提供保护措施。」

關鍵字: Sophos 
相关新闻
Conti勒索软体连续五天 Sophos揭露攻击过程
远距新常态 Sophos提示升级家用Wi-Fi安全五大要点
Sophos解构勒索软体Matrix:目标型勒索软体攻击将持续
Sophos委任Gavin Struthers为亚太及日本区??总裁
2019年IT安全人员五大须知
comments powered by Disqus
相关讨论
  相关新品
Arduino Motor Shield
原厂/品牌:RS
供应商:RS
產品類別:
mbed
原厂/品牌:RS
供应商:RS
產品類別:
Arduino
原厂/品牌:RS
供应商:RS
產品類別:
  相关产品
» 艾讯推出10.4寸与12.1寸车载触控平板系统 完成EN列车设备认证
» 专为小空间紧凑旋转应用开发 igus新增16mm转盘轴承系列
» 贝加莱推出IP69K高端移动PC 赋能自主式农业及工程机械
» 明纬推出新一代250W/400W内置式DC-AC纯正弦波逆变器
» 大联大推出Audiowise技术的TWS耳机方案 支援3D游戏超低延迟
  相关文章
» 使用可靠的隔离式ADC有效控制三相感应马达
» 台湾医疗显示器10年内有机会达阵得分
» 智能化脚步加剧 工业显示开启全新战场
» 多功能感知方案赋能工业成像应用
» 智慧显示应用全面启动 大尺寸、可弯曲与低功耗成关键
  相关资源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw