惡意軟件是數據泄露的重要載體。研究表明，無論是最初的危害、在網絡中擴展或者是竊取數據，51%的數據泄露都使用了惡意軟件。然而，盡管惡意軟件是關鍵的危害矢量，企業卻無法抵御在網絡中肆意運行的數據竊取惡意軟件。事實上，某些規模很大、最廣為人知的數據泄露都是由未檢測到的惡意軟件造成的。

這是為什么呢?現代惡意軟件的出現就是為了規避傳統的惡意軟件防御措施的。當前的惡意軟件是復雜的多矢量危害武器，采用了一系列的規避危害和偽裝技術來規避檢測措施。在破壞者和防御者的博弈中，黑客會不斷尋找始終領先現有防御系統一步的新方法。這里，我們為各位歸納了5種現代惡意軟件常見的規避技術，以及它們是如何戰勝傳統惡意軟件防御措施的。

1. 多態惡意軟件

許多傳統的惡意軟件防御措施可以針對已知的惡意軟件特征碼進行防御。現代的數據竊取惡意軟件可以通過不斷的偽裝或變形來解決這一點。只需簡單地改變代碼，破壞者就可以輕松地為文件生成一個全新的二進制特征碼。變形的零日惡意軟件戰勝了殺毒軟件、電子郵件過濾、IPS/IDS和沙盒等基于特征碼的防御措施。

2. 無文件惡意軟件

許多惡意軟件防御工具會通過關注靜態文件和操作系統(OS)進程來檢測惡意活動。然而，越來越多的破壞者采用了只在運行時內存中執行的無文件惡意軟件技術，不會在目標主機上留下任何痕跡，因此對基于文件的防御措施是透明的。無文件惡意軟件戰勝了IPS/IDS、用戶與實體行為分析(UEBA)、殺毒軟件和沙盒。

3. 加密有效負載

某些惡意軟件防御措施采用了內容掃描來攔截敏感數據泄露。破壞者會通過加密被感染主機和命令控制(C&C)服務器之間的信息傳送來躲過這一措施。加密有效負載戰勝了DLP、終端檢測響應(EDR)和Web安全網關(SWG)。

4. 域生成算法(DGA)

某些惡意軟件防御措施包含已知C&C服務器的地址，可以阻斷這些服務器之間的信息傳送。然而，具備域生成功能的惡意軟件可以通過定期修改C&C地址細節并使用未知地址來解決這個問題。戰勝了Web安全網關(SWG)、終端檢測響應(EDR)和沙盒。

5. 主機欺詐

偽造頭文件信息可以混淆數據的真實目的地，因此可以繞過針對已知C&C服務器地址的防御措施。戰勝了Web安全網關(SWG)、IPS/IDS和沙盒。

那么，企業要如何應對呢?其實，戰勝零日規避式惡意軟件并不容易，但企業可以采取下面幾個重要措施來嚴格限制這些惡意軟件的影響：

• 采用多層防御措施：保護企業防御規避式惡意軟件并不是一件一勞永逸的事情。相反，這是一項持續的工作，需要將端點防御(例如殺毒軟件)和防火墻、Web安全網關等網絡層防護措施結合起來。只有多層防護措施才能實現完全的安全覆蓋。
• 關注零日惡意軟件：在目前常見的惡意軟件中，零日惡意軟件占了50%。現有的惡意軟件防御措施通常都無法檢測到零日惡意軟件，這是造成數據丟失的主要原因。因此，企業亟需能夠明確識別并檢測到零日惡意軟件的惡意軟件防御機制。
• 進行流量分析：數據竊取惡意軟件破壞以整個網絡為目標，竊取敏感數據。盡管感染可能來自用戶端點，但破壞者通常會將其擴展到網絡資源中。因此，惡意軟件防御解決方案不僅要關注網絡中的某個區域或資源類型，還要全盤考慮整個網絡，并分析正在發生的破壞事件。
• 利用大數據：檢測零日惡意軟件的一個關鍵因素就是能夠從長期積累的海量信息中采集數據。這就使得防御者可以檢測全球范圍內的惡意軟件活動，并將看似無關的活動關聯起來，追蹤惡意軟件的發展和演變。