精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 94|回复: 2

[转帖] 可穿透杀软的“无影脚”攻击,如今已被360成功斩断

[复制链接]
发表于 2018-1-13 21:33 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x

先说重点
欧洲黑客大会曝光新型攻击技术,可绕过大部分电脑防御系统,极难检测。开启360安全卫士可防御。

在前不久伦敦举办的2017欧洲黑帽大会(Black Hat Europe 2017)上,来自网络安全公司enSilo的两名研究人员介绍了一种名为“Process Doppelgänging”的新型代码注入技术,一时间引起互联网安全行业的激烈讨论。

Process Doppelgänging攻击的恶意代码不会保存到磁盘,也就是“无文件攻击”,能绕过绝大多数安全产品的检测,甚至专业的取证工具也无法将其捕获,就像佛山无影脚一样,来无影去无踪。

不过大家不必担心,目前360安全卫士已专门针对此攻击技术进行防护,通过多维度的主动防御技术,可对Process Doppelgänging攻击行为进行拦截,确保用户电脑安全。


图:360安全卫士成功拦截Process Doppelgänging攻击技术

史上最狡猾攻击方式可绕过大部分杀软检测

Process Doppelgänging与之前曝光的Process Hollowing技术类似,却又比后者更进一步。Process Hollowing是现代恶意软件常用的一种进程创建技术,虽然使用任务管理器之类的工具查看时,这些进程看起来合法,但该进程的代码实际上已被恶意内容替代。

Process Doppelgänging除了以上方式外,还同时通过攻击Windows NTFS 运作机制和一个来自Windows进程载入器中的过时应用,以此来掩盖已修改可执行文件的加载进程。


图:Process Doppelgänging可绕过大多数杀毒软件的检测

研究人员表示,利用“Process Doppelgänging”的恶意代码不会保存到磁盘,也就是所谓的“无文件攻击”,因此大多数主流安全产品无法检测到。

研究人员成功在国外多个知名杀软上测试了这种攻击技术,甚至高级取证工具(例如Volatility)也检测不到它,堪称是目前为止已发现的“最狡猾”的一种攻击方式。

360主动防御再升级 成功拦截“最狡猾”攻击
360安全卫士日前宣布已破解了“Process Doppelgänging”的攻击行为,通过对云安全主动防御系统的强化,360安全卫士以多维度的保护,对攻击的注入和进程创建行为均可进行拦截,保护用户电脑不会被恶意代码感染。

在使用电脑过程中,只要开启360安全卫士,即可防御此类攻击行为。

发表于 2018-1-13 21:52 | 显示全部楼层
就是表脸。。。

点评

感谢回帖  详情 回复 发表于 2018-1-13 21:53
回复 支持 反对

使用道具 举报

 楼主| 发表于 2018-1-13 21:53 | 显示全部楼层
eoty 发表于 2018-1-13 21:52
就是表脸。。。

感谢回帖
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )

GMT+8, 2018-1-20 10:58 , Processed in 0.085495 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表