网络犯罪是指在互联网空间中使用计算机系统实施的任何非法行为。随着21世纪技术的快速进步,网络风险的数量正在显着增加。现代较为常见的网络犯罪案件有:网络诈骗、未经授权访问计算机系统、网络色情、未经授权使用计算机系统和数据、非文件病毒等。 澳大利亚、英国和美国情报机构确定了黑客最常使用的 30 种主要网络犯罪方法 虽然详细介绍了 2020 年和 2021 年最暴露的威胁,再次表明威胁行为者如何利用我们的疏忽来获得优势,但还有一个单独的部分介绍非文件病毒及其工作原理 美国网络安全和基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)表示:“网络犯罪分子继续利用众所周知且往往过时的软件来攻击大规模目标,包括全球公共和私营部门组织。
王国国家网络安全中心
(NCSC)和美国联邦调查 爱沙尼亚电报号码数据 局联合(联邦调查局)。 “但是,世界各地的安全机构可以通过在其系统上应用可用补丁并实施集中补丁管理系统来缓解本报告中列出的漏洞。” 排名前 30 名的威胁涵盖了广泛的软件,包括远程办公和虚拟专用网络 (VPN) 以及基于云的技术,其中包括 五角大楼要求所有国家和 1,000 多个组织负责监管最常见的威胁! 不要缺乏相关的理论和实践技能 → 立即注册! 新一代非文件病毒及其工作原理 非文件病毒是一种与传统病毒工作原理不同的程序,它不会将文件写入计算机的硬盘。
相反非文件病毒使
用操作系统内置的工具:病毒程序直接在存储卡 (RAM) 上运行。 不将文件写入硬盘是要点。正因如此,不存在所谓的病毒签名(signature),通常被防病毒软件用来检测恶意程序。尽管新防病毒程序的开发人员声称他们的产品可以检测并响应恶意Powershell活动,但现实情况是,检测非文件病毒仍然是防病毒软件面临的严峻挑战。 无文件病毒如何工作? 非文件病毒的运行原理是基于使用Windows系统内置的工具。具体来说,此类工具是 PowerShell 和 Windows Management Instrumentation (WMI)。这些工具从一开始就内置在Windows系统中,用于执行系统命令。这些工具是许多 IT 专业人员日常工作中不可或缺的一部分。
法程序使非文件病毒处于有
因此,禁用 PowerShell 和 WMI 实际上是不可能的。 使用合利地位 – 在它们上执行的命令会自动被系统和防病毒软件视为合法命令。 PowerShell 和 Windows 管理规范 (WMI) PowerShell 是一种脚本语言,可提供前所未有的设备内部访问级别,包括 Windows API。然而,PowerShell是Windows系统的一个组成部分,并且受到操作系统的完全信任。 PowerShell 还可以通过 WinRM 远程使用。
由于此功能攻击者能
够绕过 Windows 防火墙、远程运行命令或拦截和修 B2B 冷电子邮件主题行:什么是热门,什么不是 改会话。 当然,可以禁用 WinRM,但攻击者只需使用 WMI 的一行代码即可远程启用它。 管理员可以使用 WMI 执行各种操作。例如,要获取有关系统性能的信息,请安装程序或安装更新。 WMI 可以访问几乎所有系统资源,并确保程序在系统启动时或在特定选定的时间运行不引人注意。 WMI 功能可帮助管理员快速执行必要的命令,但出于同样的原因,它也成为攻击者手中的强大武器。与管理员一样,攻击者利用 WMI,并在必要时将恶意代码注入整个网络,这不仅防病毒程序难以检测,而且安全分析人员也难以检测到。
如果禁用 WMI则管理员操
作的范围会受到限制(例如,他无法再在网络上 安装更新),并且执行工 俄罗斯号码列表 作所需的时间会增加。 非文件病毒攻击的示例 尽管非文件病毒攻击的覆盖范围不像勒索软件攻击那样广泛,但这丝毫没有减少它们带来的危险。 非文件病毒攻击的一个很好的例子是“Cobalt Kitty”行动,该行动是针对一家亚洲大型公司进行的。攻击者创建了精心设计的 PowerShell 基础设施,并在受害者的系统上运行 PowerShell 有效负载(经过专门修改的代码),而受害者的系统又包含 Cobalt Strike 有效负载。 Cobalt Strike 是专家和渗透测试人员在测试系统漏洞时使用的威胁模拟程序。