近年来,随着攻防演练范围不断扩大,攻防技术水平不断加强,专业的监测、防护手段被防守方广泛使用,传统的通过文件上传落地的Webshell或需以文件形式持续驻留目标服务器的恶意代码的方式逐渐失效,攻击难度逐步加大。攻击方开始采取更为高明的攻击方式,如0day/nday漏洞攻击、无文件攻击、内存Webshell、傀儡进程等。攻击方通过漏洞、合法工具、宏和脚本,可以破坏系统、提升特权或在网络上横向传播恶意代码,并在执行后不留任何痕迹,使其难以被检测和清除,在近两年的攻防演练中,内存马已成为攻击者的“杀手锏”。因此,各行业对内存马防护的重视程度越来越高,对内存马检测技术的需求也随之升高。
近日,由安芯网盾联合东风本田发动机公司撰写的论文《基于内存保护技术的内存马检测方法研究》,经过专家、学者的严格评审,最终成功入选中文核心期刊、中国科技核心期刊《信息网络安全》,这不仅是业界对内存马检测技术的肯定,更代表了安芯网盾的先进研发技术在学术界获得的高度赞许和认可。
《信息网络安全》是由公安部主管,公安部第三研究所、中国计算机学会计算机安全专业委员会主办,面向国内外公开发行的国内首批网络安全类期刊之一。瞄准网络安全领域迫切需要的前沿技术,传达贯彻国家网络安全重要方针政策,及时反映国内外网络安全热点技术及最新发展趋势的专业性学术期刊。
安芯网盾自成立以来,一直致力于帮助企业防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,切实有效保障用户的核心业务不被阻断、核心数据不被窃取,为政府、金融、通信运营商、军工等关键行业和领域提供新一代高级威胁实时防护解决方案,服务了诸多海内外知名企事业单位。
据了解,安芯网盾产品在内存马检测技术方面的优势主要有4点:
1. 无需业务重启即可实现动态监测
2. 行为分析引擎有效应对高级威胁
3. 资源侵占度低确保业务正常运行
4. 轻量便捷部署适配多样场景形态
该方法具有较好的通用性和低误报率,对内存马这一类攻击场景具有较好的检测效果。这种方式对内存马的检测具有普适性和更高的准确性。展望未来,内存保护技术在信息安全等领域的应用潜力仍然巨大,本文对内存保护技术的深度研讨也会为网络安全行业的发展和技术突破提供新方法、新思路。
