恶意代码和应用攻击

用户和实体行为分析(UEBA)

UEBA代表“User and Entity Behavior Analytics”，中文为“用户与实体行为分析”。UEBA是一种安全分析技术，用于监测和分析用户和实体（如设备、应用程序等）的行为模式，以识别潜在的威胁、异常活动和风险事件。

UEBA通过对大量的数据进行分析，包括日志、网络流量、身份验证信息等，可以构建出正常的行为模式和基准行为，然后检测与这些基准行为不符的活动。这种分析可以帮助组织发现不寻常的活动，如恶意行为、内部威胁、未经授权的访问等。

UEBA的主要目标是提高对安全事件的可发现性和准确性。通过分析多个维度的数据，UEBA可以帮助识别隐藏的威胁和风险，以及在早期阶段发现异常活动。这有助于组织更及早地采取行动，以防止潜在的安全事件发展成为实际的威胁。

UEBA通常与其他安全技术和工具结合使用，如SIEM（Security Information and Event Management）、IDS/IPS（Intrusion Detection and Prevention System）等，以构建更全面的安全防御和监控体系。

主引导记录病毒

可以简写为 MBR 病毒，这是一种恶意软件类型。MBR 代表 “Master Boot Record”，即主引导记录，它是位于计算机硬盘的第一个扇区，负责启动操作系统和管理分区信息。恶意软件可以通过感染 MBR 来实施攻击。

MBR 病毒的工作原理通常如下：

感染：恶意软件通过某种方式感染了计算机的 MBR，通常是通过替换 MBR 中的正常代码。

启动：当计算机启动时，MBR 病毒会被加载到内存中，执行恶意代码。

控制：MBR 病毒可以控制计算机的启动过程，可能会显示错误消息、破坏分区表、篡改启动配置等。

植入恶意代码：一些 MBR 病毒会将计算机引导到另一个位置，从而加载更多的恶意代码，如 rootkit、间谍软件等。

隐藏：MBR 病毒通常会试图隐藏自己，使其难以被检测或移除。

MBR 病毒可以导致系统无法启动，破坏分区表，或将计算机引导到恶意服务器。为了防止 MBR 病毒的感染，您可以采取一些安全措施，如定期更新安全软件、避免从不受信任的源下载软件、使用强密码保护启动设置等。如果您怀疑计算机感染了 MBR 病毒，应立即采取行动，例如运行杀毒软件进行扫描和清除。

宏病毒VBA

VBA 宏病毒是一种恶意软件，它利用 Microsoft Office 中的 Visual Basic for Applications（VBA）宏语言来传播和执行恶意代码。这种类型的病毒通常隐藏在文档（如 Word 文档、Excel 表格等）的 VBA 宏中，当用户打开文档时，病毒会执行恶意操作，例如传播病毒、窃取敏感信息或破坏系统。

VBA 宏病毒的工作原理通常如下：

嵌入恶意代码：攻击者将恶意代码嵌入到文档的 VBA 宏中。这些代码可以是用于感染其他文档的代码、恶意下载器、后门程序等。
执行代码：当用户打开带有恶意 VBA 宏的文档时，VBA 宏代码会被自动执行。这可以通过用户的点击、自动执行等方式触发。
恶意操作：恶意代码可以执行各种操作，例如传播病毒到其他文档、向外部服务器发送敏感信息、窃取密码、损坏文件等。
隐蔽性：VBA 宏病毒通常会试图隐藏自己，使其难以被用户察觉。

为了防止 VBA 宏病毒的感染，您可以采取以下安全措施：

不要打开不明来源的文档，特别是来自不受信任的发送者。
在 Microsoft Office 中禁用宏，或者只在需要时启用它们。
定期更新您的操作系统和办公软件，以获取最新的安全补丁和更新。
使用安全软件进行扫描，以检测并清除潜在的恶意 VBA 宏。
教育用户有关不点击可疑链接、附件或文档的重要性。

保持警惕并采取预防措施可以帮助您减少 VBA 宏病毒等恶意软件的风险。

服务注入病毒

服务注入病毒是一种恶意软件攻击方法，它利用操作系统或其他进程中运行的服务来执行恶意代码，从而实现感染、传播或控制目标系统的目的。这种类型的攻击通常涉及将恶意代码插入到正在运行的服务或进程中，以获取系统的权限或控制。

服务注入病毒的工作原理通常如下：

选择目标：攻击者选择一个正在运行的服务或进程作为目标，通常是因为这些服务在系统中具有高权限或特权。
插入恶意代码：攻击者将恶意代码注入到目标服务或进程的内存空间中，以便在该服务的上下文中执行。
执行恶意代码：目标服务或进程会在正常运行过程中执行恶意代码，从而使攻击者能够实现其目的，如窃取信息、传播病毒、控制系统等。
隐蔽性：攻击者通常会试图隐藏恶意代码，使其不易被检测或清除。

服务注入病毒可以利用操作系统和进程的弱点，以及特权升级的漏洞，从而获得对系统的控制权。为了防止服务注入病毒的攻击，您可以采取以下安全措施：

定期更新操作系统和软件，以获取最新的安全补丁和更新。
使用可靠的防病毒软件和防火墙来检测和阻止恶意代码的传播。
避免下载和安装来自不受信任来源的软件或文件。
限制用户权限，不要给予不必要的特权。
定期审查系统日志，以检测异常活动。
教育用户有关不点击可疑链接、下载附件或执行未经验证的程序的风险。

通过加强系统安全性和采取适当的预防措施，可以减少服务注入病毒等恶意软件攻击的风险。

EDR与传统杀软

EDR（终端检测与响应）和传统杀毒软件有什么区别？ - 微步在线的回答 - 知乎
https://www.zhihu.com/question/531446447/answer/2499646112

为什么会出现从杀毒软件到EDR的转变？
因为黑客攻击的手法升级了，比如无文件、内存马等，还有就是APT的深度潜伏，传统杀毒软件那几招越来越玩不转了。

一个典型的例子就是“无文件攻击”的出现和流行——网络攻击连文件都没有了，传统杀毒软件扫什么去？

Gartner报告指出，2020年以来“无文件攻击”已经达到40%。Orange Cyberdefense研究表明，在2021年全球终端安全事件中，无文件攻击占成功的攻击方式高达77%。应对诸如此类的无文件攻击，传统的杀毒软件往往束手无策，EDR却完全不在话下。

EDR记录和存储端点系统级行为的解决方案，使用各种数据分析技术检测可疑系统行为，提供上下文信息，阻止恶意活动，并提供修复建议以恢复受影响的系统。

TOCTTOU

（Time-of-Check to Time-of-Use）攻击，也称为“时间竞争条件攻击”或“文件竞争条件攻击”，是一种常见的计算机安全漏洞，通常出现在多线程或多进程环境中。这种攻击利用了时间窗口，在程序检查文件或资源的状态与程序实际使用文件或资源之间的时间间隙，从而可能导致不安全的操作或访问。

TOCTTOU 攻击通常发生在以下情况下：

程序在某个时间点检查了文件或资源的状态，如文件是否存在、权限是否符合预期等。
在程序检查与实际使用之间，可能有其他操作或者并发的线程/进程对文件或资源进行了修改，使得检查时的状态与实际使用时的状态不一致。
攻击者在检查与使用之间，通过修改文件或资源来绕过预期的检查，从而实现未经授权的访问或执行不安全的操作。

TOCTTOU 攻击可能导致严重的安全漏洞，例如：

文件系统中的权限绕过：攻击者在程序检查文件权限后，迅速修改文件权限，然后再执行需要特权的操作，从而绕过权限检查。
文件操作的竞争条件：多个线程或进程同时访问同一个文件，一个线程在检查文件状态后，另一个线程可能修改了文件，导致程序的操作基于错误的假设。
访问控制绕过：程序在检查用户权限后，攻击者通过快速的切换用户身份或其他方式，绕过了权限检查。

为了防止 TOCTTOU 攻击，开发者可以采取以下措施：

使用原子操作：确保文件检查和文件使用是原子操作，避免其他并发操作的干扰。
加强访问控制：在进行敏感操作之前，应该使用强制的访问控制机制来确认用户是否有权限执行操作。
锁定文件或资源：在操作之前，锁定文件或资源，防止其他线程或进程对其进行修改。
使用事务：在数据库操作中，使用事务来确保检查和操作在一个事务中执行，避免不一致状态。

综上所述，TOCTTOU 攻击是一种利用时间窗口的安全漏洞，开发者应该采取适当的措施来防止这种攻击。

PUP

PUP的缩写是Potentially Unwanted Program，即潜在不受欢迎的程序。PUP是指那些可能对计算机系统造成负面影响或用户隐私的程序，尽管它们通常不被归类为恶意软件，但它们的存在和行为可能会引起用户的不满或安全风险。

PUP可以包括广告软件、浏览器插件、工具栏、试用版软件、系统优化工具等。

EDR（终端检测与响应）和MDR（托管检测与响应）

EDR（终端检测与响应）和MDR（托管检测与响应）是两种不同的安全解决方案，用于帮助组织监控、检测和响应安全事件和威胁。它们在功能和范围上有所不同：

EDR（终端检测与响应）：
- EDR 是一种专注于终端设备（如计算机、服务器、移动设备等）的安全解决方案。
- 它提供了终端级别的监控、检测和响应功能，可以追踪和记录终端上的活动和事件。
- EDR 工具收集和分析终端上的数据，以识别异常行为和潜在的威胁。
- EDR 通常包括威胁情报、行为分析、恶意软件检测、文件完整性监控等功能。
- EDR 主要关注于终端设备上的恶意活动，需要在每台设备上部署相应的代理或客户端。
MDR（托管检测与响应）：
- MDR 是一种外包的安全服务，它提供了更全面的安全监控和响应功能，覆盖了整个网络和系统环境。
- MDR 服务提供商使用专业的团队和技术来监控组织的网络流量、系统日志等，识别和响应威胁。
- MDR 提供的服务通常涵盖了实时监控、事件分析、威胁检测、恶意活动响应等方面。
- MDR 可以减轻内部安全团队的负担，因为监控和响应工作被外包给专业的服务提供商。
- MDR 通常比较适合中小型组织，或者没有足够内部资源进行全面安全监控和响应的组织。

综上所述，EDR 侧重于终端设备的安全监控，而 MDR 提供更综合的网络和系统安全监控与响应服务。

练习题测试结果

正确率 15/20
Dylan 正在审查纠织目前使用的安全控制措施，他意识到其中缺乏一种能够识别最终
用户异常操作的工具。什么类型的工具最能满足这一需求？
A. EDR
B. 完整性监控
C. 特征检测
D. UEBA

答案是 D. UEBA（用户和实体行为分析）。

UEBA 是指用户和实体行为分析，它是一种安全技术，用于检测和分析系统和网络中用户和实体的异常行为。UEBA 工具分析用户和实体的行为模式，建立基线行为，然后检测出与基线不符的异常行为。它可以帮助识别潜在的安全威胁，包括恶意用户、未经授权的访问、账户被盗用等。

在这种情况下，Dylan 需要一种工具来识别最终用户的异常操作，以便及早发现可能的安全风险。UEBA 工具可以分析用户和实体的行为，识别出与正常行为模式不一致的操作，从而提前发现潜在的威胁和异常行为。因此，UEBA 是最能满足他的需求的类型工具。

EDR 工具与 UEBA 工具有相似之处，但重点略有不同。EDR 侧重于监控终端设备上的活动，收集有关文件、进程、网络连接等的信息，以检测恶意活动。UEBA 则更专注于分析用户和实体的行为模式，从而检测异常行为。

Tim 正在改进组织的反恶意软件防御措施，希望能减轻安全团队的运营负担。以下哪种解决方案最能满足他的需求？
A. UEBA
B. MDR
C. EDR
D. NGEP

答案是 B. MDR（托管检测与响应）。

MDR 是一种外包的安全服务，它可以帮助组织监控、检测和响应安全事件和威胁。MDR 服务提供商会使用专业的人员和技术来监控组织的网络和系统，识别潜在的恶意活动，并在发现威胁时采取适当的响应措施。这种方式可以减轻内部安全团队的负担，因为安全监控和响应工作会由专业的服务提供商来执行。

UEBA（用户和实体行为分析）、EDR（终端检测与响应）和NGEP（下一代终端保护）等解决方案虽然也有其价值，但相较之下，MDR 更加针对减轻安全团队的运营负担，因为它将安全监控和响应外包给了专业的服务提供商。

哪类恶意软件专门利用窃取的计算能力为攻击者获取经济利益？
A. RAT
B. PUP
C. 加密恶意软件
D. 蠕虫

C. 加密恶意软件

加密恶意软件（也称为勒索软件或勒索病毒）是一类专门利用窃取的计算能力为攻击者获取经济利益的恶意软件。这类恶意软件会加密受害者的文件或系统，然后勒索受害者支付赎金以获取解密密钥，从而恢复其文件或系统的访问权限。攻击者通过此类恶意软件可以获取经济利益，并在受害者付赎金后提供解密密钥。

Sharon 认为她的组织开发的Web 应用程序包含跨站脚本漏洞，她希望纠正这个问题。
以下哪项是可被Sharon 用来抵御跨站脚本攻击的最有效防御措施？
A. 限制账户特权
B. 输入验证
C. 用户身份认证
D. 加密

B. 输入验证

输入验证是抵御跨站脚本（XSS）攻击的最有效防御措施之一。通过对用户输入进行严格的验证和过滤，可以防止恶意用户插入恶意脚本代码，从而减少或阻止XSS攻击的发生。其他选项如限制账户特权、用户身份认证和加密也是重要的安全措施，但在防御XSS攻击方面，输入验证是首要的防御手段。

最近，一段恶意代码以软件的形式在互联网上传播，声称允许用户在个人电脑上玩
Xbox 游戏。该软件实际上试图在执行它的机器上启动恶意代码。这描述了什么类型的恶意代码？
A. 逻辑炸弹
B. 病毒
C. 特洛伊木马
D. 蠕虫

C. 特洛伊木马

这种情况描述了一种特洛伊木马。特洛伊木马是一种假装为有用软件的恶意代码，通过欺骗用户来获取访问权限，并在背后执行恶意活动。在这种情况下，软件声称允许用户在个人电脑上玩Xbox游戏，但实际上它会启动恶意代码，可能导致安全问题或系统受损。逻辑炸弹、病毒和蠕虫是其他类型的恶意代码，但它们与这个描述不完全匹配。

CISSP官方学习手册（第9版）第21章练习题

page856 / 910

正确率 18/20

D
C 正确答案B
C
A
B
B
D
C
A
D
B
C
A
A,B,D
B
A
B
D
C 正确答案D
C

CISSP

7-安全运营 8-软件开发安全

了解国外 Previous

CISSP（二十） Next

CISSP（二十一）