随着定制化的高级持续性威胁(APT)攻击增加,传统的感染迹象(IoC)检测方式面临挑战。卡巴斯基实验室发现ProjectSauronAPT能够为每个受害者定制恶意软件,使得IoC不再可靠。预计未来将出现更多内存驻留型恶意软件,进一步加大检测难度。
根据卡巴斯基实验室2015年威胁预测,公司在2016年发现了一种能够为每个受害者制作不同感染工具的APT(可持续性威胁),从而让“感染迹象”不再是一种可靠的检测感染的手段。
卡巴斯基实验室的全球研究和分析团队(GReAT)每年都会发表针对下一年的威胁预测,这些预测均基于安全专家对威胁的深度洞察和专业知识。2017年的预测包括定制和一次性攻击工具的影响、攻击者身份误导手段的使用、无差别互联世界的脆弱性以及利用网络攻击作为信息战争武器的现象。
感染迹象(IoC)一直是一种用来分享已知恶意软件特性的绝佳手段,能够让防御者识别出活动的感染。但是,情况在卡巴斯基全球研究和分析团队发现ProjectSauron APT之后发生了变化。根据对该攻击组织进行分析,我们发现了一个定制恶意软件平台,能够为每个受害者定制各个恶意软件功能,使得感染迹象在检测其他受害者方面不再可靠,除非还同时利用其他检测手段如Yara规则。
2017年,卡巴斯基实验室还预计将有更多内存驻留恶意软件出现,而且这些恶意软件会在计算机重启后从受感染计算机的内容中消失。这类恶意软件主要用户侦察以及收集用户的登陆信息,经常被部署在高度敏感的环境中,其攻击者非常隐蔽,通常会避免引起怀疑或被发现。
卡巴斯基实验室的全球研究和分析团队(GReAT)每年都会发表针对下一年的威胁预测,这些预测均基于安全专家对威胁的深度洞察和专业知识。2017年的预测包括定制和一次性攻击工具的影响、攻击者身份误导手段的使用、无差别互联世界的脆弱性以及利用网络攻击作为信息战争武器的现象。
感染迹象(IoC)一直是一种用来分享已知恶意软件特性的绝佳手段,能够让防御者识别出活动的感染。但是,情况在卡巴斯基全球研究和分析团队发现ProjectSauron APT之后发生了变化。根据对该攻击组织进行分析,我们发现了一个定制恶意软件平台,能够为每个受害者定制各个恶意软件功能,使得感染迹象在检测其他受害者方面不再可靠,除非还同时利用其他检测手段如Yara规则。
2017年,卡巴斯基实验室还预计将有更多内存驻留恶意软件出现,而且这些恶意软件会在计算机重启后从受感染计算机的内容中消失。这类恶意软件主要用户侦察以及收集用户的登陆信息,经常被部署在高度敏感的环境中,其攻击者非常隐蔽,通常会避免引起怀疑或被发现。
本文转自d1net(转载)
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
