Malwarebytes报告称,最近没有文件恶意软件攻击飙升,并建议公司监控进程内存以防范这些威胁。那么,监控进程内存以防止无文件攻击和企业的最佳方法是什么?
为了保护端点,最重要的是在端点上部署可用作安全监视器的端点。这是实现授权访问策略的系统组件,在美国国防部“橙皮书”中称为参考监视器。
Endpoint Security Monitor独立于操作系统,可跟踪可能影响端点的任何不安全配置或恶意活动。 Windows防病毒软件用于监控大多数端点;该软件旨在保护用户免受各种威胁,包括恶意软件,广告软件,特洛伊木马和基于文件的攻击。
端点系统内存监控是一种安全工具,在评估非文件恶意软件攻击时应予以考虑,尽管它会生成大量数据。
通过监视内存,安全监视器确定在系统上执行哪些命令,包括使用PowerShell检测无文件恶意软件攻击。我们可以监视内存以查找正在系统上执行的操作 - 无论程序是否开始执行恶意代码以识别可能有害的操作,例如配置为在登录或端点执行的程序或脚本变化和持久性。其他相关方面。例如,如果Microsoft Word宏在攻击中执行复杂的PowerShell下载程序,我们可以监视内存以检测与Microsoft Word宏相关的活动。
同样,系统内存监控可以生成大量数据。但公司可以使用策略(包括行为规则或签名)来标记操作序列或尝试访问可能是恶意的内存。此时,系统可以生成警报,供分析人员调查。
最终,恶意软件开发人员将找到克服这种防御的方法,部分是通过更改用于访问内存的API来避免检测,就像他们试图操纵磁盘访问API一样。因此,端点安全供应商需要改进其防篡改保护,以防止这些攻击禁用或绕过防病毒工具。
Malwarebytes实验室最近发布的报告重点关注这些无文件恶意软件攻击的演变。该实验室建议端点安全工具包括监视内存和诊断基于power Shell的攻击的能力。如果您的端点安全工具无法承受这些类型的攻击,请确定供应商何时计划添加这些功能或转移到新产品。
中文
电话咨询
微信咨询
公众号
