提防13种技术、工具和程序

御的状态似乎并没有改善，或者至少可以说，根本赶不上攻击者不断创新的速度。安全公司Emsisoft在《勒索软件趋势综述》中表示，去年，至少有113个联邦、州、县和市政府及机构受到勒索软件的影响，而与此同时，勒索软件的数量与2019年受到影响的数量完全相同。此外，去年，全球有1300多家公司(大多数为美国企业)丢失了包括知识产权和其他敏感信息在内的数据。

当然，这些数字还只是包括那些公开报告自身曾遭受勒索软件感染，或是被盗数据出现在泄露站点上的企业。由于此类犯罪活动的漏报率很高，所以可以肯定的是，勒索软件的实际攻击水平可能远远高出所报告的水平。

但是值得注意的是，Emsisoft公司通过对比2019年与2020年的数据，结果并未发现勒索软件受害者的数量有增长的趋势，反而，基本持平。

Emsisoft该公司威胁顾问Brett Callow表示，

• “尽管2020年的新冠疫情导致全球向远程工作过渡，但是与2019年相比，2020年受勒索软件影响数量仍然相对持平。这可能是因为疫情给网络犯罪造成的问题与对组织造成的问题一样多。由于全球办公模式改变，攻击面也随之发生了变化，威胁行为者也需要花费时间进行调整-这可能就是疫情初期勒索事件数量大幅下降的原因所在。”

大型勒索软件运营商对技术专家需求激增

McAfee Advanced Threat Research网络调查和红队负责人John Fokker表示，鉴于勒索软件可能带来的潜在利润，越来越多的运营商纷纷加入勒索软件市场，并不断扩大其人才规模。成功的大型运营商所寻求的一些顶级技能包括：渗透测试-使用Metasploit和Cobalt Strike等工具。除此之外，还需要熟悉系统管理工具和环境，包括网络连接的存储和备份(例如，使用Microsoft Hyper-V)。

VMware网络安全战略负责人Tom Kellermann表示，无论对被入侵的系统造成什么影响，获得组织访问权限并保留该访问权限仍然是重中之重。一般而言，勒索软件具有14种以上的规避技术。其中包括虚拟化、逃避沙箱、修改注册表、混淆文件和禁用安全工具等等。

但是最重要的，还是要得益于rootkit的复兴。在更高层次上，rootkit是一系列工具或技术的集合，可让恶意软件潜入系统深层，对操作系统不可见。计算机处理器有不同层次的执行权限(ring 0-3)，攻击者可利用这些权限层次来玩弄运行在高层的程序。例如，Windows和Linux之类的操作系统，有用户空间和内核空间之分。在最高层，你只需要知道内核空间(ring0)比用户空间(ring3)权限高就行了。如果你有个程序需要列出目录中的文件列表，你可以调用用户空间函数来做这事，但调用内核函数同样可以。

如果恶意程序获得内核权限，就可以“欺骗”运行在用户空间的程序。因此，如果某程序以用户空间函数调用来扫描文件系统，内核rootkit就可以在它解析文件的时候欺骗之。在该用户空间函数扫描到恶意文件的时候，rootkit可以骗它说，“这些不是你要找的文件”，或者更具体讲，就是简单地绕过这些文件，不将它们作为该用户空间程序的执行结果加以返回。

简言之，恶意软件有时候可以用rootkit功能对本地反病毒(AV)软件隐身——通过对操作系统本身隐藏文件、网络连接或其他东西。

可以说，rootkit的复兴改变了游戏规则，尤其是当我们看到

（编辑：大同站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!