Sophos 发现攻击程序代码隐藏在内存中的行为并提供对应保护

Sophos是新一代网络安全的全球领导者，今日发表一种新的防御方式，可以防范恶意分子试图加载无文件型恶意软件、勒索软件和远端存取代理程序到已遭感染电脑的临时内存。

已遭入侵电脑的内存区域是恶意软件普遍的藏身之处，因为安全扫描不会检查内存。因此，我们很难侦测和阻止这种类型的恶意软件。恶意分子试图安装到内存中的恶意软件类型包括勒索软件和远端存取代理程序。远端存取代理程序是其余攻击的跳板，因此越早发现和阻止它们越好。

研究人员已经一种根据行为来防御内存中此类恶意软件的方法。他们发现，无论类型或用途为何，攻击程序代码在内存中的行为都是相同的。

与安装在主内存中的一般软件应用程序不同，攻击程序代码会被插入到内存的某一部分，称为“堆积”(heap)。堆积可为应用程序提供额外的内存空间，以进行储存或解压缩程序代码等操作。 恶意分子会以数个阶段新增攻击程序代码。首先，他们将一个称为“加载程序”的小文件插入到堆积内存中。然后，加载程序会要求额外的堆积内存空间来满足主要装载的需求。主要装载可能是像 Cobalt Strike 这样的远端存取代理程序。接著，它要求为这些额外内存配置“执行”权限，以便执行恶意软件。

Sophos 研究人员设计了一种实用的保护措施，可以阻止执行权限从一个堆积内存转到另一个堆积内存。这项保护称为“动态 Shellcode 保护”。

Sophos 工程总监 Mark Loman 表示：“防止攻击者入侵已经遭骇的网络是全球安全从业人员的目标。这个目标非常重要，因为一旦被安装远端存取代理程序，它就可以成为跳板，协助攻击中绝大多数的主动攻击策略。包括执行、使用凭证、升级权限、探索网络、横向移动、收集、渗透和发布勒索软件。

“这些恶意使用的程序代码会经过大幅模糊和封装，然后直接加载到内存中，以躲避侦测。安全工具不会定期扫描电脑内存，因此即使对程序代码解模糊、解压缩和解封装，也经常无法侦测出来。Sophos 发现它们有一个特征：‘堆积-堆积’内存配置，在多阶段远端存取代理程序和其他加载内存的攻击程序代码中很常看到这个特征，Sophos 并且已经对此提供保护措施。”

动态 Shellcode 保护已集成到 Sophos 中。它已经发挥效用，发现 Conti 。

防御勒索软件的一般建议

关闭服务因特网的远端桌面通讯协定 (RDP)，以防止网络犯罪分子使用网络 如果您需要使用 RDP，请将其置于 VPN 连线之后 使用多层式安全产品来预防、防护和侦测网络攻击，包括端点侦测和回应 (EDR) 功能以及会全天候监控网络托管型回应团队 留意攻击者存在的，以防止勒索软件攻击 制定有效的事件回应计划，并根据需要进行更新。如果您不确定自己是否有足够的技能或资源来监控威胁或回应紧急事件，请考虑寻求的协助