恶意软件是数据泄露的重要载体。研究表明，无论是最初的入侵、在网络中扩展或者是窃取数据，51%的数据泄露都使用了恶意软件。然而，尽管恶意软件是关键的攻击矢量，企业却无法抵御在网络中肆意运行的数据窃取恶意软件。事实上，某些规模最大、最广为人知的数据泄露都是由未检测到的恶意软件造成的。

　　这是为什么呢？现代恶意软件的出现就是为了规避传统的恶意软件防御措施的。当前的恶意软件是复杂的多矢量攻击武器，采用了一系列的规避攻击和伪装技术来规避检测措施。在攻击者和防御者的博弈中，黑客会不断寻找始终领先现有防御系统一步的新方法。

　　现代恶意软件

　　以下是现代恶意软件采用的5种常见规避技术，以及现代恶意软件是如何战胜传统恶意软件防御措施的。

　　多态恶意软件：许多传统的恶意软件防御措施可以针对已知的恶意软件特征码进行防御。现代的数据窃取恶意软件可以通过不断的伪装或变形来解决这一点。只需简单地改变代码，攻击者就可以轻松地为文件生成一个全新的二进制特征码。

　　变形的零日恶意软件战胜了杀毒软件、电子邮件过滤、IPS/IDS和沙盒等基于特征码的防御措施。

　　无文件恶意软件：许多恶意软件防御工具会通过关注静态文件和操作系统（OS）进程来检测恶意活动。然而，越来越多的攻击者采用了只在运行时内存中执行的无文件恶意软件技术，不会在目标主机上留下任何痕迹，因此对基于文件的防御措施是透明的。

　　无文件恶意软件战胜了IPS/IDS、用户与实体行为分析（UEBA）、杀毒软件和沙盒。

　　加密有效负载：某些恶意软件防御措施采用了内容扫描来拦截敏感数据泄露。攻击者会通过加密被感染主机和命令控制（C&C）服务器之间的信息传送来躲过这一措施。

　　加密有效负载战胜了DLP、终端检测响应（EDR）和Web安全网关（SWG）。

　　域生成算法（DGA）：某些恶意软件防御措施包含已知C&C服务器的地址，可以阻断这些服务器之间的信息传送。然而，具备域生成功能的恶意软件可以通过定期修改C&C地址细节并使用未知地址来解决这个问题。

　　战胜了Web安全网关（SWG）、终端检测响应（EDR）和沙盒。

　　主机欺诈：伪造头文件信息可以混淆数据的真实目的地，因此可以绕过针对已知C&C服务器地址的防御措施。

　　战胜了Web安全网关（SWG）、IPS/IDS和沙盒。

　　企业该如何应对？

　　战胜零日规避式恶意软件并不容易，但企业可以采取几个重要措施来严格限制这些恶意软件的影响：

　　采用多层防御措施：保护企业防御规避式恶意软件并不是一件一劳永逸的事情。相反，这是一项持续的工作，需要将端点防御（如杀毒软件）和防火墙、Web安全网关等网络层防护措施结合起来。只有多层防护措施才能实现完全的安全覆盖。

　　关注零日恶意软件：在目前常见的恶意软件中，零日恶意软件占了50%。现有的恶意软件防御措施通常都无法检测到零日恶意软件，这是造成数据丢失的主要原因。因此，企业亟需能够明确识别并检测到零日恶意软件的恶意软件防御机制。

　　进行流量分析：数据窃取恶意软件攻击以整个网络为目标，窃取敏感数据。尽管感染可能来自用户端点，但攻击者通常会将其扩展到网络资源中。因此，恶意软件防御解决方案不仅要关注网络中的某个区域或资源类型，还要全盘考虑整个网络，并分析正在发生的攻击事件。

　　利用大数据：检测零日恶意软件的一个关键因素就是能够从长期积累的海量信息中采集数据。这就使得防御者可以检测全球范围内的恶意软件活动，并将看似无关的活动关联起来，追踪恶意软件的发展和演变。

责任编辑：刘沙