防范基于脚本的恶意软件-McAfee.PDFVIP

解决方案简介 防范基于脚本的恶意软件 恶意软件作者通过利用诸如多态性、植入看门狗软件和撤消权限等技术突破检测机制。 过去十年，攻击者利用各种功能（如 Microsoft Windows Management Instrumentation (WMI) 和 Windows PowerShell） 攻击终端，并且由于直接将恶意代码植入遭到入侵的主机的注册表，所以不会在磁盘上存储任何二进制文件，导致跟 踪攻击更加困难。 基于脚本的感染已经出现了多年。尽管无文件恶意软件一般不会留下任何文件，但是在渗入系统主内存前，以前的恶 意软件系列在发动初始攻击时会在磁盘上放置一个小二进制文件。 不过，脚本恶意软件利用的最新规避技术不会在磁盘上留下痕迹，导致通常依赖静态文件的检测技术更加难以发现。 阅读《McAfee Labs 威胁报告： 2017 年 9 月》，了解对基于脚本的恶意软件的深入分析。 1 防范基于脚本的恶意软件 解决方案简介 三种常见的基于脚本的恶意软件类型： 防范基于脚本的恶意软件的策略和步骤 ■ 常驻内存型：这种类型的恶意软件使用合法 Windows 文 最新 McAfee 网络防御最佳实践建议采用以下常规策略来减 件的内存空间。它将代码加载到内存空间并保持常驻，直 轻网络和终端威胁： 到被访问或重新激活。尽管是在合法文件的内存空间内执 ■ 保护系统免受脚本恶意软件感染的最佳方法是，在受感染 行，但是有用于启动或重新启动执行的休眠物理文件。 之前就予以阻止。防御是关键。防御计算机感染各种恶意 ■ Rootkit：一些恶意软件隐藏在用户或内核级应用程序编程 软件的最重要因素是用户。用户需要知道，下载和安装不 接口 (API) 之后。它们在磁盘上有文件，但处于隐蔽模式。 了解或不信任的应用程序存在风险。另外，不知情的用户 ■ Windows 注册表型：一些高级脚本恶意软件类型驻留在 在浏览时，可能会不慎下载恶意软件。 Windows 注册表中。恶意软件作者过去利用了各种功能， ■ 对应用程序和操作系统应用安全更新和补丁。 如用于存储资源管理器缩略图视图的图像的 Windows 缩 ■ 保证 Web 浏览器和附加项是最新版本，并将终端上的防恶 略图缓存功能。缩略图缓存功能一直都是一种攻击机制。 意软件和网络网关升级和更新为最新版本。 这种类型的恶意软件仍然必须通过静态二进制文件进入 ■ 绝不使用不是企业 IT 安全团队分发和认证的计算机。脚本 受害者的系统。大多数使用电子邮件作为找到系统的攻击 恶意软件可通过与企业网络连接的未受保护资产轻松传播。 媒介。一旦用户点击附件，恶意软件就会在 Windows 注册 表配置单元中以加密形式写入完整的负载文件。随后，它 ■ 在有本地管理员权限的用户自行安装应用程序时，指导用 会通过删除自身而从系统中消声灭迹。 户仅安装已知供应商提供具有受信任特征码的应用程序。 在线提供的一些应用程序看似“无害”，但嵌入 Rootkit 和 现在，恶意软件作者会精心制作脚本恶意软件系列来执行 其他脚本恶意软件类型的情况很常见。 完全无文件的 Windows 注册表攻击，而不会在文件系统中 ■ 切勿从非 Web 来源下载应用程序。从 Usenet 组、IRC 通 留下任何痕迹。尽管发起这些攻击的环境是通过在文件中 道、即时消息客户端或对等网络下载到恶意软件的概率非 执行代码来准备的，但文件会在系统准备进行恶意操作后 常高。IRC 和即时消息中指