網(wǎng)絡(luò)犯罪分子使用規(guī)避技術(shù)來(lái)逃避偵查，尤其是在腳本的上下文中，這種技術(shù)尤其普遍，因?yàn)槟_本本身具有合法的用途（例如，在計(jì)算機(jī)系統(tǒng)上自動(dòng)化進(jìn)程）。不幸的是，腳本也可以用于惡意目的，惡意腳本不太可能被一般的反惡意軟件解決方案檢測(cè)或阻止。這就是為什么網(wǎng)絡(luò)犯罪分子比以往任何時(shí)候都更多地轉(zhuǎn)向基于腳本的攻擊和其他規(guī)避性惡意軟件（如Emotet）。

雖然Emotet是使用腳本作為其規(guī)避策略一部分的威脅的一個(gè)例子，但組織需要了解許多其他類(lèi)型的基于腳本的規(guī)避技術(shù)，以確保其系統(tǒng)的安全。

生活在陸地上的二進(jìn)制文件（“LoLBins”）是Windows系統(tǒng)中已經(jīng)存在的默認(rèn)應(yīng)用程序，網(wǎng)絡(luò)犯罪分子可能會(huì)濫用這些程序來(lái)執(zhí)行常見(jiàn)的攻擊步驟，而無(wú)需將其他工具下載到目標(biāo)系統(tǒng)上。例如，罪犯可以使用LoLBins創(chuàng)建重啟后的持久性，訪問(wèn)聯(lián)網(wǎng)設(shè)備，繞過(guò)用戶(hù)訪問(wèn)控制，甚至提取密碼和其他敏感信息。

在Windows操作系統(tǒng)中有許多本機(jī)的棒棒糖可以被罪犯使用，例如。，父進(jìn)程， certutil.exe、regsvr32.exe等。這是網(wǎng)絡(luò)犯罪分子掩飾其活動(dòng)的方式之一，因?yàn)槟J(rèn)操作系統(tǒng)應(yīng)用程序不太可能被反惡意軟件解決方案標(biāo)記或阻止。除非您對(duì)這些進(jìn)程正在執(zhí)行的確切命令有很強(qiáng)的可見(jiàn)性，否則很難檢測(cè)來(lái)自LoLBins的惡意行為。

腳本內(nèi)容模糊處理

內(nèi)容“混淆”隱藏了腳本的真實(shí)行為。雖然混淆也有合法的目的，但在規(guī)避攻擊的上下文中，混淆使分析腳本的真實(shí)性質(zhì)變得困難。屏幕截圖顯示了一個(gè)模糊處理代碼的示例（頂部），以及其去模糊處理的版本（底部）。

無(wú)文件和逃避執(zhí)行

使用腳本，可以在不需要文件的情況下在系統(tǒng)上執(zhí)行操作?？梢跃帉?xiě)一個(gè)腳本來(lái)分配系統(tǒng)上的內(nèi)存，然后將外殼代碼寫(xiě)入該內(nèi)存并將控制權(quán)傳遞給該內(nèi)存。這意味著惡意功能在沒(méi)有文件的情況下在內(nèi)存中執(zhí)行，這使得檢測(cè)感染源并阻止感染變得極其困難。

但是，對(duì)于無(wú)文件執(zhí)行，當(dāng)計(jì)算機(jī)重新啟動(dòng)時(shí)，內(nèi)存會(huì)被清除。這意味著無(wú)文件感染的執(zhí)行可以通過(guò)重啟系統(tǒng)來(lái)停止。

不出所料，網(wǎng)絡(luò)犯罪分子總是在研究新的方法來(lái)確保持久性，即使是在使用無(wú)文件威脅的情況下。一些示例包括在計(jì)劃任務(wù)、LNK文件和Windows注冊(cè)表中存儲(chǔ)腳本。

如何保護(hù)自己

好消息是，windows10操作系統(tǒng)現(xiàn)在包含了微軟的反惡意軟件掃描接口（AMSI），以幫助打擊日益增長(zhǎng)的惡意和模糊腳本的使用。這意味著，要確保組織的安全，首先要做的事情之一就是確保所有Windows設(shè)備都使用最新的操作系統(tǒng)版本。

此外，還有其他幾個(gè)步驟可以幫助確保有效和有彈性的網(wǎng)絡(luò)安全戰(zhàn)略：

使所有應(yīng)用程序保持最新–過(guò)時(shí)的軟件可能包含罪犯希望利用的漏洞。定期檢查所有Windows和第三方應(yīng)用程序的更新，以降低風(fēng)險(xiǎn)

禁用宏和腳本解釋器-雖然宏有合法的應(yīng)用程序，但大多數(shù)家庭或企業(yè)用戶(hù)不太可能需要它們。如果您或其他員工下載的文件指示您啟用宏來(lái)查看該文件，請(qǐng)不要這樣做。這是另一種常見(jiàn)的逃避策略，網(wǎng)絡(luò)犯罪分子使用這種策略將惡意軟件帶入您的系統(tǒng)。IT管理員應(yīng)確保宏和腳本解釋器完全禁用，以幫助防止基于腳本的攻擊

刪除未使用的第三方應(yīng)用程序–Python和Java等應(yīng)用程序通常是不必要的。如果存在未使用過(guò)的，只需將其移除，以幫助彌補(bǔ)一些潛在的安全漏洞

教育最終用戶(hù)——網(wǎng)絡(luò)罪犯專(zhuān)門(mén)設(shè)計(jì)攻擊，利用最終用戶(hù)的信任、天真、恐懼和普遍缺乏技術(shù)或安全專(zhuān)業(yè)知識(shí)。教育最終用戶(hù)了解網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)、如何避免攻擊、何時(shí)以及如何向IT人員報(bào)告，可以極大地改善企業(yè)的整體安全態(tài)勢(shì)及其網(wǎng)絡(luò)彈性

使用端點(diǎn)安全性，該安全性提供多層保護(hù)，防止受到威脅，包括基于文件、無(wú)文件、模糊處理和加密的威脅。

盡管黑客不斷創(chuàng)新和創(chuàng)新使得逃避戰(zhàn)術(shù)變得普遍，但了解其戰(zhàn)術(shù)運(yùn)作的框架，網(wǎng)絡(luò)安全和IT專(zhuān)業(yè)人士可以設(shè)計(jì)更有效的防御措施，以抵御最頑固的攻擊者。再加上專(zhuān)注于整體網(wǎng)絡(luò)、端點(diǎn)和用戶(hù)保護(hù)以及客戶(hù)數(shù)據(jù)恢復(fù)的網(wǎng)絡(luò)彈性文化，企業(yè)可以從任何威脅中恢復(fù)過(guò)來(lái)。
責(zé)編AJX