恶意软件绕过终端防护的六种方式

今年 4 月，Absolute Security 发布了其针对全球600 万台设备为期一年的研究报告《2019终端安全趋势》。报告显示，每台设备上平均装有十个安全代理。终端防护措施不可谓不丰富了。但数量并不能保证有效性。首先，代理之间互有重叠，还会相互抵触和干扰。随时都有7%的终端缺乏防护，21%的终端装有过时的系统。

即便安装了终端防护安全，且防护有效，保持更新，一旦攻击者建立了立足点，比如通过利用永恒之蓝漏洞，他们也有很多种方法可以关闭终端防护服务。运用 PowerShell 之类已有合法应用就是方法之一。

攻击者还可以针对终端安全代理发起拒绝服务攻击，让代理过载而无法继续提供防护功能，或者利用未能恰当配置的安全代理。然后，攻击者就可以修改注册表以提升权限，在安全代理恢复时凌驾于终端防护服务之上。

抵御此类攻击的方法是通过持续修复来打造更严格的权限层级。

上述方法都比较复杂，通常出现在民族国家攻击者发起的攻击中。

不过，这都是老黄历了，如今能运用此类方法的攻击者已经不局限于黑客国家队，网络犯罪团伙甚至普通黑客也能用。

暗网上就提供有打包出售的攻击，不需要具备太多黑客技术就能使用。这不仅仅增大了公司企业需抵御的复杂攻击数量，也让执法机构更难以介入。能被抓到的都是高端黑客工具的下游普通用户，真正打包销售这些工具的人却隐身暗网背后。

• 波耐蒙研究所《2018终端安全风险状态》报告：https://cdn2.hubspot.net/hubfs/468115/whitepapers/state-of-endpoint-security-2018.pdf
• 赛门铁克《互联网安全威胁报告》：https://www.symantec.com/security-center/threat-report
• ESET 关于 Turla LightNeuron 后门的报告：https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf
• 思科塔罗斯团队5月发布的 JasperLoader 报告：https://blog.talosintelligence.com/2019/05/sorpresa-jasperloader.html
• Absolute Security《2019终端安全趋势》研究报告：https://www.absolute.com/en-gb/go/study/2019-endpoint-security-trends

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!