rombertik和自我意识的恶意软件的兴起
恶意软件尽可能多地发现频繁发送“恶意软件”这个词。2014年,创建了超过31700万件恶意软件,每天近百万。可以安全地说,我们对恶意软件感染并不陌生,并且对保护我们的安全技术的期望是低。
但是,当一个恶意软件发现完全转向行业的头部时,你必须停止并思考:我们可以以不同的方式做些什么来保护自己?思科威胁研究人员本月发现的罗伯蒂克自毁间谍软件是这种情况。
思科威胁博客发布了关于罗伯蒂克恶意软件的信息,该信息是避免许多企业建立的沙箱的相当数量的步骤,但进一步扰乱了恶意软件专家的逆向工程和分析。从根本上说,罗伯蒂克恶意软件遵循富裕的剥削生命周期:
关于罗伯蒂克的真正值得注意的是,它建立在它的反逃号,反调试和反分析机制的程度。这种自我意识的恶意软件的功能包括8,000个无用和未使用的功能,提出了97%的包装二进制文件,是一个错误的数据发生器,以压倒分析工具,多种方式来检测沙箱和早期退出,复杂的重叠函数调用以及自我毁灭通过在文件系统上擦除主引导记录来渲染受感染的机器的机制。
为了防止这种恶意软件,传统上依赖于试图确定网站,文件和应用程序是否好或坏的安全产品。每次防御都会变得更加聪明地了解恶意内容,恶意软件也在永无止境的军备竞赛中演变。简单的防病毒和入侵检测签名已经发展成为行为分析和沙箱产品,其中临时执行,执行并观察到恶意活动的迹象。这首先有效,但攻击者迅速实现了那些Sandboxes只有几秒钟才能在用户抱怨延迟之前评估和分类Web和电子邮件内容。因此,现代恶意软件使用技术,如延迟执行和手动触发到规避沙箱解决方案。罗伯蒂克恶意软件很容易逃避大多数沙箱,完全未被发现。如果在沙箱或调试中检测到它,这种恶意软件的不寻常部分是它持续未被淘汰的程度。
在一天结束时,沙箱只是较新的签名形式。而不是在内容上匹配模式,则该模式应用于恶意软件的行为和执行。然而,这种保护网络的方式也有孔。沙箱需要识别恶意软件二进制代码以防止感染。通过BYOD和IOT在大多数企业中进行主阶段,虚拟机永远无法识别主机网络之外的恶意软件,(即在家或在咖啡店工作),在其安全姿势中将企业带来重大漏洞。
这是一种我们看到作为一个行业时间和时间的场景 - 没有现有的安全解决方案能够保护企业用户免于恶意软件感染。我们抛出了签名,沙箱,大数据分析以及众多其他看似创新的安全技术,但没有成功。在网络2015的状态:我们上个月发布的漏洞报告,我们发现三个顶级网站中的一个对用户构成了某种风险 - 它们已经损害或运行易受攻击的软件即将成为“PWNED”。
今天的安全是基于一个人可以检测内容是否好坏(例如,Web,电子邮件或文件)。这个前提是根本缺陷,每个人都知道:现在,企业认为他们已经成功地攻击并重点关注不断寻找和修复不可避免的违规行为。鉴于目前的事态,这是公平的建议。但是,在某种程度上,它也是关于我们实际预测和完全消除威胁阶级的能力的失败宣言。作为一个行业,我们有机会和责任返回并识别我们实际消除的潜在感染载体。最终,我们需要前线再次生效,然后在火灾后完全不堪重力地清理。
阻止森林火灾最有效的方法是完全防止它。Web和电子邮件安全性并非不同。在它发生后试图停止攻击 - 无论是rombertik还是否则 - 无限更困难,而不是防止它。因此,虽然投资攻击检测和有效反应是很重要的,但完全放弃了有效预防的错误。比以往为止,是时候新一代攻击预防,改变规则并从最重要的攻击向量中完全消除恶意软件。
Kowsik Guruswamy是Menlo安全的首席技术官。