多态恶意软件如何运作
多态恶意软件利用加密密钥来改变其形状、签名和行为模式。它利用变异引擎和自传播代码菌株,对代码进行加密,并改变物理文件的创建方式。许多传统的网络安全解决方案都依赖于基于签名的检测技术,即安全系统根据已知特征识别恶意软件,但却无法识别或检测多态威胁。
多态攻击通常包括以下几个阶段。
感染
突变
攻击
坚持不懈
多态恶意软件示例
著名的多态攻击
风暴电子邮件蠕虫2007 年,一封主题为 "风暴袭击欧洲,230 人死亡 "的臭名昭著的垃圾邮件造成了全球高达8%的恶意软件感染。当用户打开邮件附件时,恶意软件会在收件人的机器上安装 wincom32 服务和木马程序,使其变成僵尸。风暴蠕虫中使用的恶意代码每 30 分钟变异一次,因此很难被标准安全工具检测到。
Crypto Wall:从 2014 年到 2015 年,CryptoWall 利用钓鱼电子邮件和漏洞利用工具包渗透设备并加密用户数据。这种多态勒索软件变种不断进化,为每一个潜在受害者创造新的变种。IC3 报告称,在此期间,992 名受害者报告受到攻击,损失超过 1800 万美元。
Beebone2015 年,这个僵尸网络恶意软件利用多态下载器感染了近12000 个系统。该僵尸网络的多态属性使其难以追踪,需要多个拥有尖端专业知识和协作资源的国际执法机构才能将其拿下。
如何防御多态恶意软件
虽然多态恶意软件可能难以检测,但有一些有效的网络安全解决方案可以帮助预防和抵御多态攻击。
1.制定全面的预防性网络安全战略
保持基本的网络安全最佳实践,包括电子邮件安全卫生、整个组织的系统加固,以及保持知情和警觉,是提高网络复原力和减少漏洞的关键。
2.部署端点安全解决方案
投资端点安全可保护所有终端用户的设备免受网络攻击,对于保护组织网络免受威胁行为者的攻击至关重要。这种安全解决方案包括持续监控、数据丢失保护和事件响应等功能。
3.使用零信任网络访问
零信任网络访问(ZTNA)是一种强大的安全解决方案,它假定在网络中任何用户或设备都不应被自动信任。它要求用户对自己进行验证和认证,从而降低了未经授权访问的可能性。
4.建立网络安全文化
强大的安全意识培训计划是一种有效的预防机制,因为威胁行为者往往利用网络钓鱼欺诈作为安装多态恶意软件的网关。教育和培训用户如何识别和充分应对网络钓鱼欺诈和其他网络威胁至关重要。
5.应用安全补丁和更新
保持积极主动的系统修补频率是预防和抵御多态恶意软件的有效方法。对包括操作系统在内的所有软件打上安全补丁和供应商更新,可以消除恶意软件容易利用的弱点。
