合法软件感染特洛伊木马.PDFVIP

解决方案简介 合法软件感染 特洛伊木马 利用 Intel® Security 产品防止感染并减缓传播速度 通过互联网分发软件的机制可能会变成恶意软件和病毒攻击媒介。从十年前 原始恶意联编程序出现，到如今合法软件在复杂的分发阶段之前或之中感染 特洛伊木马，很明显取得了进步。 不管特洛伊木马程序复杂与否，其采用的基本步骤都一样： ■ 软件“武器化”：将恶意软件植入可传递的应用程序。 ■ 传递：将未检测到的感染特洛伊木马的软件传输至攻击目标。 ■ 漏洞利用：触发特洛伊木马程序代码，并设法规避检测。 ■ 安装：建立据点，并尝试扩散。 最新的攻击技术采用了复杂的动态机制，在合法软件下载过程中植入恶意代码，从而规避检测。其采用 的攻击原则是将原始应用程序与恶意代码捆绑在一起。 这种攻击技术可能会借助以下两个组件来找到可成功入侵目标的切入点：捕获并修改 HTTP 下载请求的 侦听程序以及感染并分发二进制文件的联编程序。 最新的算法可部署恶意软件感染例程和网络重定向攻击，无需修改应用程序代码。这就为武器化商业或 开源软件开启了方便之门，而且使其可以包含具有嵌入式签名的可执行文件。在首次尝试发起攻击之 前，如未自动全面验证嵌入式签名，攻击则会成功。 一旦在攻击目标中启动感染特洛伊木马的应用程序，联编程序进程就会为其他嵌入式可执行文件创建 其自身的文件，并在此文件中重建注入的所有代码，以便进一步发起攻击，并规避所有安全控制措施 的检测。由于原始应用程序完好无损，因此，恶意软件可能会附加到包含签名的文件中，因此仍然可以 成功。 解决方案简介 策略和规程 最新的 Intel Security 网络防御最佳实践建议采用以下减轻网络和终端威胁的常规策略： ■ 连接不受信任的网络时，应使用虚拟专用网。管理员应保持安全软件处于最新状态，并信 任强有力的信任指标，而不是信任攻击中潜在的伪造指标。应对应用程序进行签名，并使 用信任链进行验证。取证分析应包含带信任源的关联哈希。 ■ 不管是否检测初始二进制文件，安全软件都应执行动态分析来标记无管理系统操作，因为 静态扫描仅限于此。在全面的解决方案中，行为监控、Web 和 IP 信誉、内存扫描以及应用 程序遏制都是有用的措施。 ■ 供应商应通过安全连接下载应用程序，并对所有代码进行签名。这样就可以大幅减少中间 人攻击。软件供应商应自我验证应用程序，定期审核应用程序的代码，使用静态代码分析 工具分析代码，并执行对等项检查。建议创建受信任的企业应用程序库，并且仅允许用户 从此应用程序库下载经过验证的安装程序。 ■ 应配置防恶意软件来确定是否存在联编程序。 ■ 应利用主机入侵检测和防范应用程序来检测数据包，从而确定恶意负载。 ■ 只使用与正确网段结合的受信任的虚拟化架构。受信任的虚拟化架构采用安全且可验证的 引导进程。健全的网段可以监控通信量，并避免应用程序遭受成功利用漏洞发起的攻击。 这种结合还可以防范恶意软件扩散。 ■ 通过监控出站通信，确定感染特洛伊木马的软件传递的恶意软件是否存在。通过监控计算 机尝试发送至互联网的通信量，可能会发现受病毒感染的计算机，从而进一步采取补救 措施。 Intel Security 借助 Intel Security 产品，可以确定感染特洛伊木马的合法软件，识别并拦截嵌入式恶意软件威胁，发现 有害病毒并快速做出响应： McAfee VirusScan® Enterprise 8.8 或McAfee Endpoint Security 10 ■ 保证 DAT 文件处于最新状态。 ■ 确保 McAfee Global Threat Intelligence (McAfee GTI) 已启用；McAfee GTI 可识别6 亿多 具有唯一性的恶意软件签名。 ■ 建立访问保护规则以阻止恶意软件安装和负载： – 请参阅访问保护规则知识库文章：KB81095 和 KB54812。 – 请参阅 McAfee VirusScan 8.8 Enterprise 的最佳配置实践：PD22940。 – 请参阅 McAfee Endpoint Security 的最佳配置实践：KB86704。 合法软件感染特洛伊木马 2 解决方案简介 McAfee Host Intrusion Prevention