為什么惡意軟件能夠逃避檢測��?
2019年02月20日
在網(wǎng)絡(luò)安全的背景下�,盡管存在反惡意軟件控制����,但逃避是執(zhí)行惡意代碼的做法。這種策略不會利用可修復(fù)的缺陷�。相反���,他們利用阻止現(xiàn)實(shí)世界中惡意軟件檢測的因素來實(shí)現(xiàn)其完整的理論潛力。
這些逃避因素包括:
模式檢測:防病毒工具��,即使是那些采用最新方法的工具�,也可以根據(jù)文件或進(jìn)程與之前看到的惡意模式的相似性來檢測惡意軟件,同時解決誤報���。攻擊者調(diào)整惡意軟件以偏離這些模式�。
端點(diǎn)性能:實(shí)時反惡意軟件技術(shù)必須平衡內(nèi)省的徹底性以及避免降低端點(diǎn)性能的需求�。攻擊者制造惡意軟件以在由于這種妥協(xié)而存在的盲點(diǎn)中操作。
運(yùn)行時差異:徹底檢查帶外可疑文件的惡意軟件分析工具使用與正常端點(diǎn)不同的執(zhí)行環(huán)境�����。攻擊者會尋找此類差異����,以便從這些工具中隱藏其惡意代碼的真實(shí)性質(zhì)�����。
人類行為:終端用戶往往匆忙��,經(jīng)常是多任務(wù),缺乏對安全專業(yè)人員所擁有的風(fēng)險的深刻理解���。攻擊者使用社會工程和其他策略誘騙受害者進(jìn)入感染系統(tǒng)�,壓倒防御措施����。
強(qiáng)大的功能:當(dāng)今操作系統(tǒng)和應(yīng)用程序的功能非常龐大,提供內(nèi)置機(jī)制�,即使不使用傳統(tǒng)的惡意軟件或漏洞,也可以危及端點(diǎn)��。攻擊者濫用此類功能來繞過安全控制���。
開放渠道:即使是高度限制性的����,孤立的安全措施也需要適應(yīng)業(yè)務(wù)交互�,這需要訪問可能有助于攻擊者的數(shù)據(jù)或應(yīng)用程序。攻擊者使用這些開放渠道來推進(jìn)其惡意目標(biāo)�。
內(nèi)存可變性:系統(tǒng)管理和安全工具在識別和阻止僅駐留在端點(diǎn)內(nèi)存中的惡意代碼方面很薄弱。攻擊者使用無文件技術(shù)����,通過避開文件系統(tǒng)來破壞端點(diǎn)�����。
盡管存在現(xiàn)代端點(diǎn)安全工具���,但這些現(xiàn)實(shí)因素為攻擊者提供了許多機(jī)會來制作感染端點(diǎn)的惡意軟件。惡意軟件可能會越來越成熟���,因?yàn)樗鼈冊黾恿朔礄z測措施����,但每天��,安全社區(qū)都會發(fā)現(xiàn)新的方法�,使用與惡意軟件相同的逃避策略來對抗它們,以其人之道還其人之身��。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺建設(shè)、動漫設(shè)計�、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”�����、“制度流程”�����、“技術(shù)產(chǎn)品”三個視角提供全面�、可信的方案�����,業(yè)務(wù)涵蓋咨詢��、評估��、規(guī)劃�����、管控�、建設(shè)、培訓(xùn)等�。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商��。
