恶意软件绕过终端防护的6种方式

当网络安全威胁越来越猖狂的时候，很多企业都会为自己的每一台计算机设置了某种形式的防护措施，然而，攻击者还是无孔不入，这到底是为什么呢？接下来小编就给大家介绍恶意软件绕过终端防护的。

6种方式：

1. 基于脚本的攻击

基于脚本的攻击也是“无文件” 攻击，其中的恶意软件其实就是在已有合法应用中执行的脚本，可以利用 PowerShell 或其他已经安装的 Windows 组件，达到窃取数据的目的。这种攻击几乎不留痕迹，没有可供杀毒软件扫描的实体恶意二进制文件。捕捉此类攻击的关键在于寻找常见应用执行不常见操作的实例，这样方便找出一些不正常的指令，也就是恶意指令。

2. 在流行基础设施上托管恶意站点

如果攻击者将恶意站点托管在 Azure 或谷歌云之类的东西上，那这些恶意站点就不容易被加入黑名单，这样就能够司仪攻击目标系统，盗取数据。

3. 中毒合法应用及实用程序

企业员工经常会使用很多第三方应用、工具和实用程序，如果这些工具被攻击者入侵，渗透进升级功能中，或者潜入开源项目的代码库里，他们就可以植入后门和其他恶意代码。为防止此类事情发生，企业和软件开发人员必须仔细检查软件中的开源代码，将该代码映射回其确切源头，以便一旦出问题就能快速清除或修复。

4. 沙箱逃逸

沙箱是下一代终端防护平台的一个常见功能，但里面的防护指令很容易被黑客绕开，黑客可以将恶意软件编写成只在沙箱外才激活恶意行，延时是最常见的手法。恶意软件可能等待数小时、数天，乃至数周才激活，在攻击载荷被触发之前尽可能广泛地感染网络。

5. 未修复的漏洞

一些未及时修复的漏洞或新型漏洞很有可能会让攻击者有机可乘，进而增加安全风险。

6. 拿下安全代理

设备装有安全代理说明终端防护措施越来越丰富，然而，安全代理的数量并不能保证有效性。首先，代理之间互有重叠，还会相互抵触和干扰。随时都有7%的终端缺乏防护，21%的终端装有过时的系统。即便安装了终端防护安全，且防护有效，保持更新，一旦攻击者建立了立足点，就可以针对终端安全代理发起拒绝服务攻击，让代理过载而无法继续提供防护功能，或者利用未能恰当配置的安全代理。然后，攻击者就可以修改注册表以提升权限，在安全代理恢复时凌驾于终端防护服务之上。