Skip to content

2015媒体报道

新闻联系人

Angela Liu
PR Manager
Tel: +86 10-85252277#319
Angela_Liu@trendmicro.com.cn

趋势科技监测发现无文件恶意软件
或导致传统安全软件陷入失效风险

[趋势科技中国]– [2015年5月29日] 在发生病毒感染事件之后,常见的安全修复策略常是删除特定位置里面的病毒文件,并使用防毒软件进行全盘查杀。但如今,这个策略正在面临失效的风险,趋势科技发现了一种无文件载体的恶意软件,该软件摆脱了传统恶意软件的安装行为,使防毒软件的文件监测功能无法侦测到它们的存在。已经有迹象表明越来越多的病毒采用这种方式来躲避查杀,趋势科技建议企业与个人消费者务必要关注此类防毒软件的蔓延迹象,并采用行为监控的方式来防范病毒威胁。

无文件恶意软件肆虐 传统防毒软件丧失用武之地

如果将安全攻防当做一场“见招拆招”的剑术比赛,那么无文件恶意软件显然已经达到了“无招胜有招”的极高境界。与大多数恶意软件不同,无文件恶意软件并不会在目标电脑的硬盘中留下蛛丝马迹,而是针对传统防毒软件在扫描机制上的特点,直接将恶意代码写入内存或注册表中。由于没有病毒文件,文件扫描程序很难扫描或侦测到它们的存在。“POWELIKS”即是一个无文件恶意软件的例子,它可以利用另一个传统恶意软件将恶意程序代码加入注册表内,从而将自己隐藏在防毒软件的视线之外。

无文件恶意软件的攻击技术正在不断精进,在趋势科技监测到的另一个无文件恶意软件“Phasebot”中,软件除了会将恶意代码写入内存以避免监测之外,还加入了虚拟机侦测、外部模组载入等新功能。前者有利于恶意软件更快速的在企业虚拟机中传播,后者则支持黑客随时在受感染电脑上新增或移除功能。而且,该恶意软件更加强调隐蔽和躲避监测的机制,每次连接C&C服务器时,它都会通过随机密码来加密其通讯链路。

趋势科技(中国区)技术总监蔡昇钦指出:“Phasebot之所以能够躲避安全软件的侦测,一个重要原因是它利用了Windows 7及更新版本所自带的Windows PowerShell工具,这本是正常的系统管理工具,但是Phasebot成功的利用该工具来执行它隐藏在Windows注册表内的组件,很容易让安全软件误以为这是一个正常的系统操作行为。”

当无文件恶意软件感染电脑之后,会执行黑客的后续指令,如窃取用户信息、绑架用户电脑以执行拒绝服务攻击(DDoS)攻击、自我更新、下载并执行其它恶意程序等。而且,黑客还试图在地下黑色市场销售这些攻击工具,这将导致更多的企业与个人用户处于安全风险之中。

趋势科技建议用户通过行为监控来防范威胁

无文件恶意软件的出现对于不熟悉此类病毒感染事件的用户来说会造成严重的威胁。当病毒感染事件发生之后,用户往往被建议去寻找可疑的文件或文件夹,而非Windows注册表这样被无文件恶意软件感染的地方。趋势科技预计会有更多黑客会使用无文件攻击技术,而且很有可能并不会局限在只用Windows注册表隐藏恶意软件。

无文件恶意软件的发展让那些严重依赖于恶意文件侦测的厂商面临严峻的挑战,安全厂商将不得不加紧脚步,跳出传统基于文件的侦测模式,采用新的安全防护手段。蔡昇钦表示:“要想成功防范无文件恶意软件的安全威胁,关键之处在于通过行为监控的方式,检查整个文件结构、寻找篡改和恶意代码注入的迹象,实现有效地侦测和阻断。”

个人消费者可以使用趋势科技PC-cillin 2015云安全版来防范无文件恶意软件的威胁,PC-cillin 2015云安全版具备行为监控功能,可以持续侦测软件的恶意行为,并在恶意行为执行前就先封锁恶意软件,甚至可以在病毒码更新之前就提供充足的防护能力。

对于企业用户来说,趋势科技建议部署OfficeScan 、Worry-Free Business Security等终端安全防护软件或本地支持SPN的深度威胁发现平台(Deep Discovery,DD),这些产品可以在利用沙盒模拟、事件关联等功能发掘隐秘的攻击行动,在对系统的实时监控中发现恶意行为,阻止恶意软件进入到企业网络。

当然,在采取安全防护措施的同时,用户还需要关注网络环境的安全性,并养成良好的安全习惯。例如,用户在处理电子邮件、打开文件或网址时都要保持谨慎,必须再三确认这些文件或链接是否安全,以免被不法分子找到可乘之机。

趋势科技二维码

欢迎加入:

趋势科技免费工具:

关于趋势科技(Trend Micro)

超国界经营管理——国际标杆企业

  • 1988年成立于美国加州。
  • 1998年于日本东京证交所上市。
  • 2002年入选日经225指数成分股,并连续5年入选道琼斯可持续发展指数。
  • 2008年在38个分公司遍布全球,员工总数4000人。
  • 全球市值最高的防毒软件公司。
  • 美国哈佛大学列入MBA 案例教材。
  • 名列日本经济新闻(NihonKeizaiShimbun)2008年百大杰出企业名单第八,与Toyota丰田汽车并列,领先电信大厂NTT DoCoMo、本田(Honda) 、新力(Sony)等知名日本企业。

可信赖的网络安全专家——网络安全NO.1

  • 创建第一种集中防病毒解决方案,适用于网关、电子邮件系统和文件服务器。
  • 拥有五项国际重要专利,涉及自动病毒检测、病毒清除、电子邮件安全以及其他关键应用安全的创新。
  • 首创病毒爆发预防设备NVW,可保护多个网段和服务器。
  • 推出原厂专家服务产品TMES,1200名安全专家提供全天候(7*24)的服务支持。
  • 首创管理网络病毒爆发的战略方案(EPS),针对特定病毒爆发生命周期的特定网段的特定解决方案。
  • 率先推出云安全技术,超越了拦截Web威胁的传统方法,在Web威胁到达最终用户之前将其拦截。

赢得全世界的信赖——最佳品牌

  • Gartner Group连续四年把趋势科技评定为最具创新能力的防毒管理供应商。
  • 趋势科技被 Computer Reseller News 评为年度最佳安全解决方案提供商。
  • 趋势科技连续四年在 Nikkei Solution Business 进行的合作伙伴满意度调查中排名第一。
  • 趋势科技入选台湾 2008 年最佳品牌。
  • 30%的全球财富500强使用趋势科技的产品,超过50%的中国百强企业也选择趋势科技,华尔街80%的金融用户都选择趋势科技。
  • 承接2008年奥运保障网络安全防护项目。
  • 在全球,Dell和Hotmail是趋势科技长久的合作伙伴;在中国,金融业(中华人民共和国财政部、中国工商银行等)、制造业(一汽大众、联想、金士顿等)、航空业(东方航空等)等各个领域都应用装趋势科技的最新产品。
  • 网关级防毒软件市场占有率绝对优势的第一名。
  • 防毒软件市场年增长率第一名。
  • 邮件服务器防毒软件市场占有率第一名。
  • 群组服务器防毒软件市场占有率第一名。

(资料来源:IDC)


通过以下社交网站联系我们