何为内存马?
内存马是无文件攻击的一种技术手段,攻击者通过应用漏洞结合语言特性在Web系统注册包含后门功能的API,并且此类API在植入之后并不会在磁盘上写入文件,代码数据只寄存在内存中,给传统的安全设备检测带来巨大难度。这令广大政企用户在网络攻防演练及实际网络攻击中倍感头疼。攻击者利用无文件的特性可以很好地隐藏后门,利用包含后门代码的Web API来长期控制业务系统或作为进入企业内部的网络跳板。随着攻防演练热度越来越高,攻防双方的博弈越来越激烈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统以文件上传的webshell或以文件形式驻留的后门越来越容易被检测到,因此内存马被使用越来越多。
内存马特征
内存马具有很高的隐蔽性,检测难度极高。它们往往具有以下特征。
01
无逻辑结构边界,难以被发现。内存马仅存在于进程的内存空间中,通常与正常的的代码、数据混淆。
02
缺乏稳定的静态特征,难以被识别。内存马缺乏结构化的静态形式,它依附于进程运行期间的输入数据,数据可能被加密混淆,因此,无法通过内存马本身的特征识别。
狙击内存马 靖云甲ADR无需重启
边界无限靖云甲ADR采用“主被动结合”双重防御机制,对外基于RASP能力对内存马的注入行为进行有效防御,对内通过建立内存马检测模型,通过持续分析内存中存在的恶意代码,帮助用户解决掉埋藏内存中的“定时炸弹”。针对内存中潜藏的内存马,靖云甲ADR提供了一键清除功能,可以直接将内存马清除,实现对内存马威胁的快速处理。靖云甲ADR还可以通过主动拦截+被动扫描,有效阻断内存马的注入;对已经被注入的内存马提供源码和特征检测信息,无需重启应用即可一键清除。另外,靖云甲ADR采用“attach”等方式注入Agent ,无需重启直接更新,以减少对业务运行的干扰。
嘛是0Day?
0Day漏洞是指软件或系统中已经被人发现,但还未被软件供应商或使用者所知晓的应用缺陷或隐患,攻击者利用此类漏洞进行攻击的次数越来越多,因为它们很难被预测和防御。目前,0Day漏洞攻击对所有企业都是一个严重的威胁,如何有效防范这种类型的攻击变得至关重要。
一提到漏洞,我们第一反应会想到补丁,补丁应对的仅仅是已知漏洞,而0Day漏洞具有“未公开”、“未知”、“0时差”等特性,这些特性足以在网络上发生肆意的攻击,对于数字时代下的企业来讲,这简直是一场完全不对称的、无形的战役。
0Day特征
攻击者利用0Day漏洞攻击的方式同样具有多样化特点,我们以云端应用0Day为例子:
01
可利用业务软件漏洞,如常见的OA系统等,通过相关漏洞直接入侵到承载对应业务的主机。
02
可利用公共组件漏洞,如fastjson等,通过相关漏洞直接入侵到承载对应业务的主机。
03
可利用常见中间件漏洞,如weblogic等,通过相关漏洞直接入侵到承载对应业务的主机。
原生免疫0Day 靖云甲ADR近乎零误报
边界无限靖云甲ADR采用RASP应用运行时自我防护技术,实现资产的精准采集,自动化高效地响应,构建了0Day漏洞原生免疫,结合语义分析技术,同时实现漏洞的精准防御,大大降低了无效告警。靖云甲ADR可有效解决90%的0Day漏洞,内存马注入防御、Webshell检测、反序列化漏洞等功能100%完善,应用运行时风险降低95%以上,且具有高精准度,近乎零误报。另外,靖云甲ADR还可与WAF形成纵深防御体系,联防联控,动态防御,助力广大客户建设纵深防护体系和整体防护体系,从而实现真正的动态全方位防护,实现关基业务“零关停”、“少关停”。
网络攻防实战化、常态化的趋势不可逆转,在当前安全新形势下,传统边界防护方案很容易被绕过,应用将成为用户防护的“最后一道防线”,边界无限引领应用安全新趋势的靖云甲ADR主攻应用检测与响应,将构筑起主动、智能、全面的应用安全防护体系。它以云原生为场景,以数据链路为核心,以流量安全、API安全和数据安全作为安全能力切入点,引入多项前瞻性的技术理念,通过对应用风险的持续检测和安全风险快速响应,帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。
一年一度的攻防大考即将来临,如果您有防御内存马注入的需求或正面临0Day漏洞的威胁,边界无限靖云甲ADR随时待命,如欲征召,定不辱使命!
联络方式
电话: 400-060-1337
注:务必通过公司邮箱申请,个人邮箱申请暂不予受理,敬请谅解!
往期 · 推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...