How to Combat Document-Based Malware

企業和家庭用戶都在盡最大努力在不斷變化的在線威脅世界中保持安全。惡意軟件具有各種形狀和大小，從相對良好的潛在有害程序到數據擦除勒索軟件。但是，似乎有越來越多的趨勢，不是直接在可執行文件中查找惡意軟件，而是在提供有效負載的文檔中。 Barracuda Networks的研究人員最近發布了一份報告，指出過去12個月中近50％的新惡意檢測都是文檔文件。最近三個月的數字比去年同期增加更明顯 - 2019年為59％，2018年為41％。這相當於近50％的增長，這絕對值得關注對於。

通過惡意文檔傳遞的有效負載可以是任何東西，從特洛伊木馬到病毒，再到勒索軟件。惡意文檔也可以是任何內容 - 圖像文件，辦公文檔或PDF發票。一旦打開，惡意文檔通常從遠程站點下載實際有效負載並執行它。社交工程和垃圾郵件活動攜手合作，試圖將有害載荷傳遞給盡可能多的系統。可以做些什麼來對付這個？該報告提出了一些方法，這些方法同樣重要。

黑名單IP：使用大規模垃圾郵件活動的不良參與者通常使用相同範圍的IP地址來發起多次攻擊，因此黑名單可以很好地防止未來的攻擊，源自同一來源。顯然，這主要適用於更大的公司規模級別，是網絡管理員應該擔心的問題。

實施反網絡釣魚/垃圾郵件檢測系統：過去幾年中大多數勒索軟件感染都是由於人為錯誤和員工在工作計算機上打開錯誤文件而發生的，這已不是什麼秘密。擁有一個可靠，設計良好的自動化系統，可以篩選傳入的電子郵件並掃描網絡釣魚線索，這有助於減少首先發送到員工郵箱的不良電子郵件數量。

具有靜態和動態分析功能的反惡意軟件套件：在個人計算機上安裝功能齊全的反惡意軟件套件也是保護網絡免受基於文檔的惡意軟件安全的重要因素。一個可靠的反惡意軟件套件應該能夠查明並阻止運行代碼試圖下載或運行可執行文件的任何惡意文檔。啟發式分析和混淆檢測算法等功能對於阻止惡意文檔在系統上運行錯誤代碼也有很大幫助。

高級防火牆功能：某些防火牆的功能超出了默認Windows防火牆中包含的功能。借助更高級的防火牆，網絡管理員可以依賴額外的檢測和保護層，防火牆本身可以在文件通過之前對其進行分析。