一个安全启动说,存在比在那里的高级持续威胁(APT)(APT)(APT)(APT)造成的剧烈攻击威胁(AVT)。但是,一些安全专家说AVT只是旧问题的新名称。
一家安全公司表示,还有比高级持续威胁(APT)更糟糕的东西——一种更隐秘的攻击载体,被称为高级不稳定威胁(AVT)。
[还:恶意软件的未来]
但其他几位安全专家表示,尽管任何一种成功的攻击技术都令人担忧,但AVT只是一个老问题的新名称。
安全部门的每个人都在谈论apt这个星期之后,随着Mandiant 60页的报告记录他们所说的名称和地点,这是中国最活跃的APT组之一,至少自2006年以来。
但安全初创公司凯胜(triumphant)本周表示,中国、伊朗和俄罗斯等成熟国家正在利用一种更新、更隐秘、更具破坏性的威胁进行网络间谍活动。凯旋集团总裁兼首席执行官约翰·普里斯科随后表示:“中国才刚刚开始。曼迪昂特报告的发布
“我们对高级持续威胁(APT)这个术语已经很熟悉了,”他说。他说:“准备好了解一种新的、更具破坏性的攻击——AVT或高级不稳定威胁。”
“[AVTS是]拍摄相当于持久的网络图攻击,”Prisco说:“这是在挥发内存中的攻击,在离开之前擦拭它的”指纹“,并在它窃取了您的知识产权之后。”
他们可能是更大的东西的开始。Prisco告诉社会网络虽然avt主要用于间谍活动,窃取机密信息和知识产权,但它们可能导致真正的战争。“avt就相当于军方在战场上增加了一架隐形飞机,”他说。“avt和类似毁灭性攻击的长期结果是,我们最终可能会看到美国政府做出某种形式的动态反应,特别是在关键基础设施攻击方面。”
他说,目前还没有人知道AVT的普及程度,但估计其使用率约为10%,因为到目前为止,“黑客无需使用AVT就能轻松侵入系统——apt工作得很好。”
【深度:什么是恰当的意思?]
但是Palo Alto Networks的高级安全分析师Wade Williamson表示,它是一个Thiumfant调用AVT只是恶意软件的许多技术之一,而不是一些新的恶意软件。“纸张已经展示了几年,显示了恶意软件,从未将任何东西从磁盘调用或从未居住在磁盘上,”他说。
KNOS项目的联合创始人和首席架构师Kevin mcalevey称AVT是对众所周知的术语内存驻留病毒的重新定义。他说:“第一个记忆驻留病毒被称为里海病毒,于1987年流行开来。”
McAleavey一致认为,不持久的恶意软件是棘手的。“传统的防病毒解决方案取决于存在的文件存在 - 这就是他们检测到的文件和寻找的,试图介入该文件的完成加载到内存中并作为程序运行,”他说。“没有文件,没有检测。”
威廉姆森警告说,AVT这个词可能会误导人。“这显然是一个玩这个词贴切,但事实上,它只生活在内存和磁盘从未触摸意味着它是一个非常不同的威胁,”他说,并指出,它只能窃取信息的计算机正在运行,并曝光结束当用户关闭机器。
他说:“这几乎与apt完全相反,apt的设计目标是低速度,并在网络中长时间存在。”“例如,曼迪昂特的大多数攻击持续356天,在大多数情况下,这些不稳定的攻击将被限制在一天的一部分。”
普利科斯表示,他强调了争论的差异,即这是一个使AVTS如此危险和难以跟踪或失败的事情之一。“AVT进来了,exfiltrates它正在寻找的数据,然后立即擦拭它的手中的干净,因为电脑关闭没有追踪,”他说。
他说,虽然存在于内存中的攻击并不新鲜,但该行业并不擅长在内存中检测它们。“关于AVT的一切都是实时的——你必须能够当场抓住它,”他说。“如果你不这样做,你就已经输了。”
普瑞斯科说对付avt的唯一办法就是基于异常的检测工具在他的公司提供的个人电脑上。
“问题不是你是否会被攻破,而是什么时候被攻破,”他表示。“你必须有一种能够与黑客或恶意软件进行肉搏战的工具。要做到这一点,唯一的方法就是与攻击者站在同一个战场上——计算机。”
McAleavey说,使用扫描内存的工具,而不仅仅是文件系统,一直以来都是一个最佳实践。他说,他在1999年参与创建了一个名为BOClean的反软件解决方案,该方案是在一个名为Back Orifice II的漏洞之后设计的。
他说:“所有的恶意软件都存在于内存中,无论它是否从一个文件开始,监控内存确保我们总是能捕捉到这样的恶意软件,无论它来自哪里。”“所以,这里对我来说没什么新鲜的。”
这篇文章,“高级易失性威胁:旧恶意软件技术的新名字?”最初发表于CSO .