WatchGuard根据最新报告,2021年第一季度发现的74%威胁是零日恶意软件——恶意软件在使用时无法被基于签名的防病毒解决方案检测到,也无法被传统的杀软工具检测到。
“20212000年第一季度,恶意软件检测率创下历史新高。逃避检测的恶意软件的比例实际上超过了传统威胁的比例,这表明企业需要使其防御措施领先于日益复杂的威胁行为者。”WatchGuard的CSO Corey Nachreiner指出。
“传统的反恶意软件解决方案不足以应对当今的威胁环境。每个企业都需要一种多层次、积极的安全策略,包括机器学习和行为分析的技术手段,以检测和防止未知的高级威胁。”
无文件恶意软件变种大受欢迎
XML.JSLoader这是一种恶意负载,首次出现在恶意软件检测数量的榜首,也是第一季度通过的HTTPS检查中最常见的变体。
在已识别的样本中,发现使用上述恶意软件XML外部实体 (XXE)攻击打开shell运行命令绕过本地PowerShell执行策略不是以非互动的方式运行的,而是隐藏在实际用户或受害者身上,这是无文件恶意软件日益流行的主要因素,导致市场对高端点检测和响应功能需求的持续增长。
简单的文件名技巧可以帮助黑客加载勒索软件Zmutzy伪装成合法的PDF附件是第一季度前两名的加密恶意软件变种。典型的是和Nibiru勒索软件是相关的,受害者通常通过电子邮件的压缩文件附件或从恶意网站下载来受到威胁。zip文件将下载可执行文件,但在受害者看来,这是合法的PDF。
攻击者恶意使用逗号而不是文件名中的句点和手动调整图标zip文件作为PDF传输。这种攻击突出了在线钓鱼教育和培训的重要性,以及备份解决方案的重要性。
物联网设备继续受到攻击
虽然Linux.Ngioweb.B变体没有进入第一季度前10名恶意软件列表,但它最近被攻击者用来攻击物联网设备,第一次运行WordPress的Linux扩展格式语言服务器(EFL)文件的形式出现了。恶意软件的另一个版本将物联网设备变成了具有命令和控制服务器的僵尸网络。
网络攻击激增20%以上
发现网络攻击超过400万次,比上季度增长21%,是2018年以来的最高数量。虽然企业转向远程和混合工作模式,但公司服务器和现场资产仍然是攻击者的高价值目标,因此企业需要维护办公环境安全,以用户为中心进行安全保护。
目录遍历攻击技术卷土重来
通过第一季度检测到新的威胁签名特征CAB目录遍历攻击文件,CAB文件是一种Microsoft设计的存档格式,用于无损数据压缩和嵌入式数字证书。
作为前十名网络攻击名单中的新成员,用传统技术诱使用户打开恶意CAB文件,或过欺骗连接网络的打印机欺骗用户CAB打印机驱动程序安装文件。
HAFNIUM提供零日恶意威胁的响应策略
上个季度,微软报告称,攻击者使用Exchange Server四个版本HAFNIUM未经身份验证的完整系统远程代码执行和暴露在外的漏洞Internet像大多数电子邮件服务器一样,任何未打补丁的服务器文件都写入访问权限。
攻击者在加密货币活动中选择合法领域
第一季度,几个与加密货币挖掘威胁有关的恶意领域被阻止。由于最近加密货币市场的价格飙升,攻击者可以很容易地从毫无戒心的受害者那里窃取资源Cryptominer恶意软件越来越流行。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章