为什么蒸气蠕虫可能是2019年的祸害

不久前,WatchGuard威胁实验室 预言蒸气虫的出现 作为一种主要的新型网络威胁,它将在2019年影响到各种规模的组织。我们创造了该术语,以描述一种具有自传播蠕虫特性的新型无文件恶意软件。在最初的预测时,我们的团队相当确定这个想法不仅仅是猜想,但现在2019年蒸气虫的出现似乎是一个绝对的确定性。

但是,在我了解今年这种新威胁的原因和方式之前,让我们先退一步,首先检查无文件攻击以及它们与传统恶意软件有何不同。

无文件恶意软件的基本原理

大多数传统的恶意软件变体都要求用户在其系统上保存并执行文件。该文件本身可能是一个独立的可执行二进制文件,一个木马化的应用程序,甚至可能只是另一个组件加载和运行的指令和数据的斑点。无论是遍历网络还是最终将其保存到系统中,都有许多机会可以捕获传统的恶意软件。

无文件恶意软件将一切变为现实。顾名思义,无文件恶意软件不会将任何内容保存到目标系统的存储中以保持持久性。相反,它利用PowerShell和脚本,甚至利用合法进程将自身注入计算机内存并直接从那里执行。无文件恶意软件可以更好地掩盖它的踪迹,因为它不会留下任何可以扫描的传统反恶意软件工具的信息。

仅从最近的头条新闻来看,您可能已经意识到近几年无文件恶意软件一直在流泪。根据Ponemon一份有关端点安全状态的报告,2017年,有29%的攻击使用了无文件恶意软件。考虑到此类恶意软件仍是相对较新的事实,这一数字非常庞大。更可怕的是,2017年所有成功的攻击中有77%与无文件恶意软件的使用有关。最重要的是,无文件恶意软件是有效的,这意味着它将在未来几年中继续流行。

新的转折

预测2019年无文件恶意软件的持续增长将是一件容易的事-几乎是这种流行攻击的必然结果。相反,我们假设无文件恶意软件在2017年可能会遵循与勒索软件类似的进化路径。也就是说,它将添加蠕虫般的自我传播特性。

2017年4月,影子经纪人 泄露了多个Microsoft Windows零时差漏洞 据称是从国家安全局盗窃的。勒索软件作者仅用了一个月的时间就将这些漏洞利用添加到有史以来的第一个漏洞中 勒索虫 : 想哭。这种简单但破坏性的演变使Wannacry成为历史上最具破坏性的勒索软件攻击之一。

简而言之,我们怀疑网络犯罪分子会复制这种趋势,通过添加网络漏洞来自动扩散整个互联网,而无需任何用户交互,从而将传统的无文件攻击变成vapor虫。尽管无法知道这些攻击的前几轮是否将依赖于那些导致 想哭 或即将发布的新版本,很明显,如果汽蠕虫在2019年受到坏人的青睐,它们将具有与WannaCry一样的深远和不分青红皂白的影响。

蒸气虫的黎明

不幸的是,这种预测似乎很快就难以实现。趋势科技的研究人员在预测自传播的无文件恶意软件的邪恶出现仅短短一个月后 发现 无文件的特洛伊木马,似乎具有某些相同的特征。

首先,该恶意软件将其恶意负载保存在Windows注册表中,该注册表是Windows存储在内存中的键值数据库。然后,它创建了第二个注册表项,指示操作系统从内存中加载有效负载并在每次引导时执行,从而赋予其持久性。为了传播,该恶意软件在与系统连接的任何可移动存储(拇指驱动器,外部硬盘驱动器等)上安装了自身的副本。

尽管此恶意软件将无文件执行和使用可移动存储的蠕虫传播相结合非常有趣,但它并不是像我们在2017年看到的Wannacry勒索病毒那样成熟的网络蠕虫。网络传播是“好”病毒的与众不同之处至少在感染率方面,来自“大型”计算机蠕虫的计算机蠕虫。

网络传播还使从攻击中清除所有感染变得异常困难。想象一下一个国家想要从外国国防承包商那里窃取工程工作的情况。在不久的将来,我们会看到一种难以置信的有效而危险的恶意软件攻击,它将Wannacry的快速传播与无文件恶意软件隐藏其存在的能力结合在一起。而且,正如先前无数攻击技术所证明的那样,从民族国家开始通常通常会尽快流到平民网络犯罪世界。

避免在2019年成为气蠕虫的受害者

仍将流行的蒸气蠕虫将如何变还有待观察。现在,每个组织,无论规模大小或行业如何,都必须做好防范这些攻击的准备。众所周知,无文件恶意软件很难识别,而增加的自我传播机制只会加剧这一挑战。

幸运的是,诸如入侵防御服务之类的工具能够检测和阻止网络攻击,并阻止蒸气虫感染。此外,监视进程行为是否存在可疑活动的端点检测和响应(EDR)解决方案可以在恶意活动为时已晚之前将其检测出来。与以往一样,了解威胁是成功的一半。通过对自己和组织进行有关蒸气蠕虫攻击的可能性和机制的教育,可以确保您已获得必要的保护,以避免成为受害者。

分享这个