模块化远程访问特洛伊木马使用复杂的技术来绕过检测

IBM方面称，安全研究人员发现了一种新的模块化远程访问木马，称为寄生虫HTTP，使用复杂的技术来逃避安全软件的检测。

在2018年7月，Proofpoint观察了地下网络市场上模块化RAT的销售报价。研究人员监控了一个电子邮件攻击活动，该活动使用人力资源（HR）分发列表来诱骗收件人打开看似Microsoft Word简历和简历的内容。附件包含恶意宏，一旦宏病毒被启用，则会从远程站点下载RAT。

Parasite HTTP采用了一系列绕过技术，包括利用睡眠例程检查沙箱并延迟执行，并跳过关键缓冲区的分配，以便在检测到沙箱时发生崩溃。

寄生虫HTTP RAT只是导致恶意软件激增的众多威胁之一。根据Minerva实验室的数据，2017年检测到86％的漏洞攻击套件和85％的恶意有效载荷采用了逃避防恶意软件检测技术，包括内存注入（48％），恶意文档文件（28％）和环境测试（24％）。

同样，在2018年第一季度，软件即服务（SaaS）提供商Cyren介绍98％的恶意软件采用了至少一种绕过规避策略，而32％至少使用了六种绕过规避技术。

如何抵御逃避远程访问木马？

易受攻击的恶意软件样本对组织构成了重大威胁，因为它们可以在许多传统安全解决方案下绕过。为了帮助企业网络抵御这些威胁，IBM安全专家建议保持防病毒解决方案的最新状态，扫描环境以获取已知的危害指标（IoC），并使应用程序和操作系统在最新公开发布的补丁中运行。

安全专家还建议安全团队使用网络钓鱼情报来抵制寄生虫HTTP和其他绕过恶意软件等高级威胁的传播。

原文始发于微信公众号（鼎信安全）：模块化远程访问特洛伊木马使用复杂的技术来绕过检测