2024年,恶意文件攻击到底有多厉害?
说几个你之前可能没看过的数字:目前大约存在的恶意程序是12亿个,由AV-TEST登记的恶意文件已超过6000万新变种,而由恶意文件发起的攻击,每秒钟达到了19万次。
恶意文件数量和攻击不仅越来越多,更可怕的是,新型恶意文件反杀病毒检测的能力也越来越强。通过模块化设计的攻击工具,新型恶意文件不但能持续更新手法对抗免杀,而且通常以周甚至天为单位迭代,对抗性与变异性极强。这些新手法最常用的地方,就是在黑灰产和攻防演练。
其中,“打包”是将恶意文件所有组件直接“打包”成单独的安装程序,过程中原始文件会被压缩、加密甚至重新排列,让传统静态检测根本检不出来“包”内是否安全;
“合法数字签名”则是攻击者使用合法有效的签名,骗过安全设备;
而“白加黑”是把“好程序”和“坏程序”放在一起,让安全设备检测到“好程序”,就立马放行,“坏程序”从而鱼目混珠。
新型文件攻击不仅绕过静态检测,也能绕过动态检测。同样以当前危害极大的“银狐”黑产工具为例,其特点就是大量滥用合法工具和服务来获取信任和对抗检测,以常用的动态检测对抗手法BYOVD(Bring Your Own Vulnerable Driver)为例,在攻击过程中,攻击工具会利用合法驱动中的漏洞,执行提权、禁用安全软件、绕过保护、清理痕迹等恶意操作。而由于合法驱动程序包含合法签名被系统信任,所以即使存在异常行为,安全设备也根本检不出来。
传统设备新型文件检测能力不足,文件威胁检测投入不够
很不幸,面对这样一个严峻的形势,传统以静态特征检测为主的安全设备要么检测各有侧重、要么性能资源受限,对于新型恶意文件的检测能力仍有明显的不足。
以流量这个非常重要的安全场景为例,流量设备不仅每天检测的量级巨大,同时需要检测的威胁类型也非常复杂。由于性能和集成能力等原因,流量设备更擅长直接检测及阻止已知恶意文件,以及漏洞利用、端口扫描等Web相关威胁,而非需要进行深度动静态分析才能检测的新型恶意文件威胁。
终端是新型恶意文件攻击的另一个“主战场”,但当前大多数终端设备都是通过“杀软”,以静态特征方式进行文件检测,对于具备极强检测规避、免杀能力的新型恶意文件而言,终端杀软的新型恶意文件检测效果并非最佳,且检测滞后。此外,准确检测新型恶意文件,需要耗费大量内存性能,为了不影响终端用户体验,终端杀软设备基本无法提供非常深入的文件分析检测能力。
同样,处在第一道防线、专门防止恶意文件进入的边界防病毒网关,也并不能很好地检测新型恶意文件。核心原因在于,防病毒网关大多只拥有杀毒单引擎,以“签名”方式检测为主,不具备动态分析能力。虽然防病毒网关能很好地识别已知恶意文件,但对新型恶意文件而言,“签名“检测基本失效。
微步沙箱分析平台OneSandbox:致力打造国内检测能力最强的“企业文件检测中心”
本地多引擎检测,引擎数及检出率行业领先
行业领先的威胁情报与数据能力,更快发现新型威胁
威胁情报能力与数据能力,是现代沙箱平台的核心能力之一,是确保沙箱更早识别出新型威胁的关键之一。
微步OneSandbox不仅融合了微步覆盖全球、准确率达到99.99%的高质量情报,同时得益于微步云沙箱S长达9年持续收集运营的海量样本和对抗经验,能更快发现新型威胁。云沙箱S已积累样本超100亿,恶意样本总量超40亿,每日新增样本超200万。
全面的动态行为捕获,更有效识别复杂隐秘攻击
多项优势场景检测能力,覆盖更多重要威胁检测
更加开放互联,高效赋能安全设备
不同于其他沙箱平台只能与自家产品联动,微步OneSandbox具备更好的开放性,能够以API的方式,连接邮件、终端、流量、SIEM、SOC、SOAR等不同平台,增加不同安全设备针对新型文件威胁的检测能力,真正做到 “文件检测中心”赋能并提升企业整体文件安全检测水平。
基于沙箱分析平台OneSandbox的文件检测中心
作为企业网络安全中最重要的参与载体之一,文件从进入企业网络的那一瞬间就开始影响企业的安全性。以微步沙箱分析平台OneSandbox为基础的文件检测中心,能够在新型恶意文件攻击越来越严重的情况下,帮助企业从“文件安全”视角,快速弥补现有安全设备检测能力盲点,提升企业威胁识别与响应能力,构建更加牢固的纵深安全防御体系。
如要试用微步沙箱分析平台OneSandbox
如有侵权请联系:admin#unsafe.sh