四种经常逃避检测的网络威胁及其应对方法

有些网络攻击比其他攻击更具隐蔽性。虽然许多攻击可以通过依赖威胁特征的系统识别和阻止，但许多攻击无法轻易突破组织通常设置的至少是初始防御层。而且，随着人工智能的快速普及，威胁行为者拥有更多快速适应检测机制的方法。

话虽如此，我们来看看四种因能够绕过检测和预防系统而臭名昭著的网络攻击。这些威胁可能看起来很标准，而且不如其他更先进的技术复杂，但由于它们非常擅长逃避检测，因此它们成为组织和消费者关注的重要原因。

网站克隆

网站克隆是品牌网站的伪造副本，它诱骗毫无戒心的用户提交他们的登录凭据或私人数据，而恶意行为者则会收集这些数据。

这些攻击通常伪装成合法品牌的网站，并使用网络钓鱼策略来吸引客户，从而不被人发现。

有时，诈骗者甚至会在用户在欺诈网站上输入信息后将其重定向回真实网站，以逃避任何怀疑，从而使检测更加困难。

尽管网站克隆的严重性及其潜在影响，但企业往往忽视网站安全的重要性，而将内部网络作为优先事项。他们通常只能通过客户报告或事后威胁情报解决方案来了解网站被克隆的情况。然而，鉴于克隆网站可能导致数据盗窃、声誉受损以及大量客户流失，这种情况本不应发生。

为了减轻此问题造成的损害，组织可以设置Google 快讯，查看最近是否有任何内容在线发布，疑似冒充其网站或品牌。此外，组织还可以投资购买能够检测类似可疑域名的网站欺骗防护软件。

这些解决方案会向品牌发出警报，但并不一定能保护其客户免受克隆网站在活跃状态下可能造成的损害。克隆网站的移除过程可能需要几天、几周甚至几个月的时间，才能从搜索引擎中完全移除或被托管服务提供商下线。 

为了更有效地应对这一问题，企业应该考虑使用实时检测和保护工具。Memcyco是一个实时平台，可以检测网站克隆，立即向企业发出警报，提供攻击的完整详细信息，并通过在克隆网站上发出红色警报弹出窗口，直至网站被关闭，防止客户落入陷阱。

虽然目前还没有可以防止网站克隆的解决方案，但组织能做的最好的事情就是尽快减轻损害。

无文件恶意软件 

无文件恶意软件也称为基于内存的恶意软件，是一种异常软件，甚至不需要写入目标设备的存储设备。它只需要感染设备的随机存取存储器 (RAM) 或操纵 Windows 注册表，这使得检测极具挑战性。它通过隐藏在系统中现有的合法进程和工具下，从而谨慎地运行。

网络安全提供商Morphiesec承认，无文件恶意软件可以轻松逃避现有的检测系统，包括静态和动态分析。

白名单可以减少无文件恶意软件感染的机会，但并非万无一失，因为犯罪者总能找到绕过白名单的方法。此外，过度的白名单管理可能会损害组织的运营灵活性。

为了应对无文件恶意软件，企业必须采用多种策略。这些策略包括文件或应用程序行为分析、高级 EDR、网络流量分析、权限管理、隔离和分段以及内存分析。

此外，实施零信任策略至关重要，以确保在授予访问权限或特权之前，每个操作、文件或应用程序都被视为危险并经过审查。

自动移动目标防御 (AMTD) 等预防性网络安全技术也很有用，因为它们可以在威胁行为者设法利用攻击路径之前在应用程序级别阻止攻击路径。

被盗凭证

通常情况下，组织需要数周甚至数月的时间才能发现数据泄露，包括用户名和密码被盗。通常只有在有人试图使用被盗凭证登录账户时，才会检测到凭证被盗。 

预防和补救这个问题是完全有可能的。定期更改密码和多因素身份验证等安全机制是防止网络犯罪分子使用被盗登录信息的有效方法。

此外，使用“我被黑了吗”之类的可靠服务有助于确定违规行为是否影响了帐户。

然而，大多数组织和个人的问题在于他们倾向于淡化凭证被盗的威胁。

即使政府机构或银行等私人机构由于最近发生的特定安全事件而发布更改密码的建议，许多人也懒得检查他们的账户是否已经被盗用。

因此，如果组织在其账户方面更好地遵守网络安全最佳实践，则可以减轻这种威胁的普遍性。 

多态恶意软件

顾名思义，多态恶意软件是指不断改变代码和外观，以阻止基于签名和基于模式的解决方案检测到的恶意软件。每个恶意软件实例的外观都不同，因此很难通过传统方法识别。换句话说，这种恶意软件会时不时地进化或变异，这使得基于签名的检测甚至行为分析在某种程度上都无法有效对抗它。

生成式人工智能的兴起加剧了多态恶意软件的问题。据最近报道，ChatGPT 能够生成能够规避大多数 EDR 解决方案的多态恶意软件。

网络安全公司 Hyas 通过创建 BlackMamba 证明了这种可能性，这是一个简单的概念证明，表明可以利用大型语言模型来生成可以在运行时动态自主更改其代码的多态恶意软件。

它的运行不需要任何命令和控制基础设施。

针对多态恶意软件的解决方案包括行为分析、启发式分析、沙盒、内存分析、网络流量分析和人工智能辅助检测。

需要强调的是，利用人工智能来对抗对抗性利用人工智能至关重要。正如一篇博客文章中所言：“各组织必须保持警惕，确保安全措施与时俱进，并通过运用该领域正在进行的前沿研究来适应新出现的威胁。”

总之

毫无疑问，网络安全技术和策略已经不断发展。然而，威胁和攻击也随之演变，在传统的网络安全实践中，即使是检测它们也极具挑战性。令人欣慰的是，许多问题的解决方案已经存在。

问题只是确保这些解决方案得到实施。最佳实践，尤其是网络安全教育，应该是强制性的。此外，旨在应对新兴威胁的现代安全技术应得到最大程度的利用，并作为每个组织安全态势的重要组成部分。

原文始发于微信公众号（河南等级保护测评）：四种经常逃避检测的网络威胁及其应对方法