盤點 | 那些不起眼，但是危害大的惡意病毒的藏身之處！

江民科技  2019/1/8

過去的一年裡，高級持續性威脅(APT)、勒索病毒和其他複雜犯罪不斷增加，隱藏起來的病毒也是我們不得不去得警惕的。

最新的安全威脅的特徵是它們能夠在公司的網路上長時間保持不被發現，在某些情況下，罪犯一直都沒有被注意到。 IT專業人員也要為新一代的惡意軟體和APT的攻擊做好準備，這些軟體很不起眼，但很危險。

接下來，就讓我們一起看看勒索軟體和其他複雜的惡意軟體可以隱藏在您網路中的那些位置吧！

1. 關鍵系統檔

一些高度複雜的惡意軟體，可以隱藏在最危險和無害的地方之一就是你的關鍵系統檔。一般來說，通過數位簽章的方式用於替換或修改現有關鍵系統檔，許多惡意軟體檔由在已簽名檔的屬性可認證欄位(ACT)中可見的外部簽名或中繼資料來區分。 最近有國外的安全研究人員發現簽名不再是萬無一失的。

現在，網路犯罪分子已經發現如何在不修改ACT的情況下通過將惡意軟體隱藏在簽名檔中來完成“檔速記”。雖然高度複雜的網路罪犯使用的檔速記技術可以繞過大多數傳統的檢測方法，但仍有一些痕跡。使用除了特徵碼改變之外還能夠檢測檔大小或內容的變化的技術，可以檢測這些負面的變化。

2. 登錄檔

一些惡意軟體會修改Windows登錄檔鍵值，以便在“自動運行”之間建立位置，或者確保每次啟動作業系統時都啟動惡意軟體。InfoWorld的Roger A.Grimes在2015年寫道，現在絕大多數惡意軟體修改登錄檔金鑰，作為確保長期駐留於網路中的一種模式。手動檢查Windows登錄檔項以檢測異常是一項艱巨的任務。理論上需要將日誌檔與成千上萬的自動運行設置進行比較。雖然存在一些可能的捷徑，但是通常使用檔案完整性監視解決方案最有效地確定對登錄檔鍵值的修改。

3. 暫存資料夾

作業系統包含一組暫存資料夾，其範圍從Internet緩存到應用程式資料。這些檔案是作業系統的固有部分，允許系統處理和壓縮資訊以支援使用者體驗。

本質上，這些暫存資料夾通常是預設可寫的，以便所有用戶能夠進行網際網路瀏覽、創建Excel試算表和其他常見活動。 由於這些暫存資料夾固有的鬆散安全性，一旦罪犯通過網路釣魚、rootkit漏洞或其他方法進入您的系統，它就成為惡意軟體和贖金軟體的常見著陸點。隨機軟體和惡意軟體可以使用暫存資料夾作為啟動台，以便立即執行，或通過許可權提升和其他模式，在公司的網路內建立各種其他據點。

4. LNK文件

也被稱為“快捷方式””捷徑”，可能包含到惡意軟體或充斥贖金軟體網站的直接路徑，或者更危險的可執行檔。很可能，您的員工在桌面上有很多這樣的途徑，以便於使用常訪問的Web應用程式和其他工具。 惡意軟體和贖金軟體都可以通過巧妙偽裝的.lnk檔下載後在系統中獲得支援，該檔可能類似於現有的快捷方式，甚至無害的PDF文檔。不幸的是，由於檔的LNK方面沒有明顯顯示，很多使用者無法區分。

5. Word文件

即使是比較低級的垃圾郵件篩檢程式也有足夠的智慧來識別.exe檔可能是惡意的。然而，很多網路犯罪分子已經意識到了這種做法，並且正在利用Microsoft Office VBA在Word文件巨集中插入贖金代碼。這種特殊風格的“鎖定贖金軟體”立即輸入暫存檔案，並執行對資料和贖金軟體需求的鎖定。

網路的發展，防禦措施也在不斷的提高，網路罪犯也在同時努力找出新的入侵弱點。IT安全的焦點不應僅僅停留在偵測與保護，還需關注提供橫向活動保護的智慧和自動響應，以隔離網路攻擊。2019新年伊始，網路安全顯然更不能放鬆警惕。

Bye!