包藏禍心   捷徑檔案或安裝程式成資安最危險陷阱

編譯／Cynthia

惡意軟體隱匿在網路深處，隨時等待著機會發動攻擊，宛如暗中觀察的獵人，為了抵禦這樣的威脅，必須深入了解它們的技巧和行為。最新研究顯示，惡意軟體開發者正在採用各種精心設計的手段來逃避防禦，並確保其持久存在。

散播方式

研究指出，在超過10萬個Windows惡意軟體樣本中，常見的散播方式包括惡意郵件附件、Windows捷徑檔案（LNK）、光碟映像檔與虛擬硬碟檔（ISO／VHD）容器和Windows安裝程式（MSI）。這些表面上看來普通的檔案，實際上可能是網路世界中的危險陷阱，時刻威脅著用戶的系統安全。

更多新聞：防禦勒索軟體攻擊  辨認AI 惡意軟體

在惡意軟體攻擊中，防禦逃避是最常見的策略，這些策略包括程式碼注入、防禦系統篡改、偽裝和系統檔案替代執行（System Binary Proxy Execution）等技術。惡意軟體開發者利用這些手段，竭盡所能地避免被安全解決方案和團隊發現，以確保其攻擊順利進行。

進階攻擊技巧

除了主要的防禦逃避技巧外，還有一些更進階的技術，例如DLL 側載（DLL side-loading）、父進程PID詐欺（Parent PID Spoofing）和惡意MSI安裝程式的使用（Use of malicious MSI installers）等。這些技術不僅更隱匿，還能提高攻擊的成功率，給防禦者帶來更大的挑戰。

惡意軟體不僅要成功執行，還需要在受害系統中保持持久存在。因此，攻擊者通常會採取系列措施，例如創建定期任務、修改註冊表項目或將程式新增至啟動文件夾，甚至建立Windows服務等手段，這些方法讓惡意軟體得以長時間潛伏在系統中，不斷對系統進行攻擊。

增強偵測能力

儘管研究人員已經深入研究惡意軟體的常見技巧和行為，但這僅僅是保護系統的第一步。防禦者應該不斷提升自己的偵測能力，並結合多種偵測方法和額外的警示信號，以降低誤報率，提高系統的安全性。

資料來源：Help Net Security

瀏覽 116 次