看资讯要看评论 科技独立评论号
点击题目下方蓝字关注 阿明观察
这是一个老生常谈的问题。
对于Fileless Malware,其实这两年出现得特别令人匪夷所思。Fileless Malware是指恶意软件专门设计和架构,实际上,它与运行的主机的文件系统交互。
对技术专业人员来说,警惕这一点很重要,因为它以几种不同的方式影响着他们。
首先,它在分析攻击者活动时更改了他们应该注意的内容。因为Fileless Malware已经转变了传统的恶意软件不同的特点,它需要寻找不同的指标。
其次,它影响了从业者如何计划和执行对恶意软件的响应。一个攻击者采用这种方法的原因是,绕过许多通常以减轻攻击的技术。
然而,从业者可以也应该做一些事情来保护他们的组织。
当然也可以采取预防策略。
首先,需要考虑Fileless Malware带来的直接影响,并且对检测恶意软件的方法有影响。此外,也影响到组织如何在调查环境中收集和保存证据。具体地说,由于没有收集和保存的文件,它使通常捕获文件系统内容的技术变得复杂,并将它们保存在digital amber中用于法庭或执法。
尽管有着这些复杂性,企业组织应该采取措施保护自己。
首先是修补和维护一个硬件端。
另一个常见的建议是从现有的Fileless Malware检测和预防软件中获取最多的信息。例如,许多硬件端端保护产品具有基于行为的检测功能,可以任意启用。
更具战略性的考虑,增加其操作的可视性。例如,PowerShell 5包括扩展和增强的日志记录功能,可以扩大安全团队更大的可视性。
事实上,“脚本块记录”保存了执行什么代码(即执行命令)的记录,可以用来支持检测能力,并保持记录,以便在后续的分析和调查中使用。
当然,还有其他的途径,攻击者可能利用超越PowerShell。尽管如此,无论如何需要用户提前考虑一下,花时间了解你所面临的问题并据此制定计划,这才是一个很好的起点。(Aming)
——阿明/编辑评论——
联系客服