Damballa较新的一份报告指出了由“点击欺诈”攻击演化而来的恶意软件。它是如何运作的?我所知道的是有时候低风险攻击往往造成更为严重的危害,但是我们并没有人力、物力来调查每一个低级攻击。是否应该将某些问题优先处理呢?
Nick Lewis:恶意软件作者视图寻找任何可以从其恶意代码中获取的潜在利益,这其中包括“点击欺诈”攻击。这可以追溯到广告软件、间谍软件和恶意软件,如果一个安全工具发现了恶意软件文件,很多安全专业人士只是忽略掉或者删除它而非更进一步的调查。这延伸至可能不需要的程序和其他可执行的软件。
如果“点击欺诈”恶意软件让攻击者有利可图,那么他们会一直使用它。但如果以较小的附加风险能换取更多的利益,攻击者很乐意更新现有恶意软件,使用另一种不同的恶意软件。该恶意软件具备几种不同的方式从受感染的终端设备上获利。正如Damballa报告所述,恶意软件可快速革新,以规避反恶意软件工具的检测,并集成新的更邪恶的功能,诸如勒索软件。
对于绝大多数机构来说关注调查每个低级攻击是非常重要的。不过问题是,很难知道是否一个“点击欺诈”恶意软件已经包括了勒索软件或破坏性软件的功能。企业应当使用基于数据安全要求的风险评估来推行调查低级恶意软件攻击的优先性。举个例子,如果在一个支付卡环境中发现“点击欺诈”恶意软件时,则应立即对其进行调查,不过如果当同样的恶意软件发生在访客无线网络上时则可能无需进行调查。
使用快速更新的防毒工具将有助于减少确定是否需要对低级攻击进行调查的时间。使用威胁情报服务同样可以帮助识别变种的恶意软件,无论它是“点击欺诈”恶意软件还是勒索软件。
