0day恶意软件激增!超半数可绕过传统防病毒解决方案 – 作者:中科天齐软件安全中心

一项新的分析显示，上个季度，依靠传统基于签名的工具来检测安全威胁的企业可能错过了袭击其网络和系统的大约四分之三的恶意软件样本。因攻击者已经改进了对旧恶意软件的调整，使其逃过传统的威胁检测监控。

网络安全公司最近分析了2021年Q1数据发现，检测到的恶意软件中有74%是0day恶意软件，在恶意软件发布时没有可用的防病毒签名，因此恶意软件能够绕过基于签名的安全防护工具并破坏系统。

网络安全公司表示，各种规模的企业都需要认真对待恶意软件的主动检测，认真做好系统安全和代码安全检测。通过这次统计发现，网络攻击者在重新包装旧恶意软件方面一直做的很好，其二进制配置文件与以前检测它的指纹和模式完全不匹配。

在过去，这种这样的“打包和加密”需要聪明的创作者，但如今地下市场上的工具随处可见，这使得攻击者可以很轻松地通过数字方式改变相同的恶意软件，从而绕过基于签名的检测系统。

0day恶意软件大量增加

几年前，这种0day恶意软件约占所有检测到恶意软件样本的30%。但最近，这一数字徘徊在50%左右偶尔达到60%。可以确定的是，对于我们今天看到的大量新恶意软件来说，基于传统模式的恶意软件检测已不再够用，单是传统的防病毒产品会错过很多威胁。

网络攻击威胁性增加

今年第一季度网络攻击数量达到三年之最，这和远程办公有一定关系。随着远程办公逐渐成为趋势，公司公开更多的服务、导致通过企业服务器和网络服务上的软件漏洞攻击依然在持续增长。此外，勒索软件攻击目标更多关注在关键基础设施上，这让每次勒索事件都不仅造成极大的经济损失，还严重影响社会正常运转。

2021年第一季度网络安全报告的其他重要发现包括：

无文件恶意软件变种泛滥

简单的文件名技巧可以帮助黑客将勒索软件加载程序冒充合法的PDF附件

威胁者继续攻击物联网设备

网络攻击激增超过20%

一种旧的目录遍历攻击技术卷土重来

攻击者在加密挖矿活动中利用合法域名

加强外部防御更要增加软件自身安全

0day恶意软件同0day漏洞一样让人难以提前做好安全防御准备，仅靠传统的反恶意软件解决方案不足以应对当今的威胁环境，每个组织都需要一个分层的，主动的安全防护策略以检测和阻止新的和高级威胁。在加强外部防护的同时，更要提高软件自身安全防御能力。

目前，在改善软件质量、降低安全修复成本、提高软件安全性以及缩短交付期等压力之下，作为应对这些需求最为有效的办法之一的DevSecOps已经成为大势所趋。根据GitLab发布的2021年全球DevSecOps年度调查报告，36% 的受访者团队已经使用了DevOps或DevSecOps开发软件。DevSecOps借助自动化检测工具来构建脚本、将源代码进行编译、实施软件漏洞扫描。常见工具有静态代码检测工具(SAST)、动态应用安全测试(DAST)、开源漏洞扫描工具SCA、交互式应用安全测试(IAST)等在提高软件开发效率的同时，保证软件一定的安全性。在加强软件自身安全的同时，结合应用防火墙WAF等共同抵御日趋狡猾的恶意软件攻击。

参读链接：

https://www.woocoom.com/b021.html?id=5f152c1ff7ff4f41bc4d8d570e86d7ef

https://beta.darkreading.com/vulnerabilities-threats/74-of-q1-malware-was-undetectable-via-signature-based-tools

来源：freebuf.com 2021-06-28 10:33:10 by: 中科天齐软件安全中心