反惡意軟體如何運作
反惡意軟體保護以兩種不同的方式發揮作用:
- 它檢測到文件中的惡意代碼行
- 它需要隔離或以其他方式防止文件運行
反惡意軟體偵測可疑或危險檔案的具體方式可以採取幾種不同的形式,兩種潛在的方法路徑是靜態和動態分析。
靜態偵測
靜態惡意軟體分析是對抗已知的基於檔案的惡意軟體的關鍵技術。 它專注於手動分析惡意軟體檔案的獨特功能。 為了進行適當的深入分析,安全從業人員通常依賴每種類型的惡意軟體家族的多個副本,這些副本來自:
檔案大小、匯入和匯出函數、雜湊值和可列印字串等方面都被納入此靜態分析中,從而可以了解惡意軟體的操作,然後將其整理成可共享的簽章。
簽名格式
像 YARA 這樣的簽名格式在過程中發揮著重要作用,讓分析人員可以製作惡意軟體家族的描述並與相容工具共享。 每個 YARA 規則都由一組字串和布林運算式組成,無論上下文如何,都能精確偵測程式碼的性質。
這樣,就可以對僅感染一家公司的惡意軟體進行分析並將其實施到整個行業的防禦中。
基於簽名的檢測的有效性在很大程度上取決於所分析的惡意軟體樣本的數量。 當分析師只有一組有限的樣本,甚至只有一個樣本時,產生的簽名效果較低,並且更容易出現假陽性。
此外,快速掃描較大的文件需要更多資源。 雖然根據大小限製檔案掃描可以提高效能,但它也在發現過程中帶來了全新的脆弱性:惡意軟體作者可以透過使用不必要的程式碼膨脹檔案來逃避檢測來利用這一點。
動態分析
解析方法是檔案簽名掃描靜態分析的替代方案。 這種較新的方法專注於分析文件的實時行為,而不是嘗試從原始代碼猜測。 它部分是對先進的威脅技術的反應,例如:
- 代碼模糊
- 部分是針對新型惡意軟體菌株的有針對性的防禦
啟發式是使用者和實體行為分析 (UEBA)的核心:當應用於更廣泛的組織時,UEBA 依靠演算法來研究使用者、路由器、端點和伺服器的行為。
動態啟發分析與 UEBA
但在 UEBA 之前,動態啟發分析依賴於沙盒。 在執行時環境的這個隔離的封閉部分中,執行可疑文件的副本。
然後跟踪其活動。 如果該文件開始瀏覽系統日誌、嘗試與未知伺服器建立連線或出現其他行為不當,則反惡意軟體程式會將其標記為惡意文件,將其終止,並阻止其下載到公司裝置上。
但在網絡安全無盡的貓和鼠中,一些攻擊者發現他們的惡意文件可以首先執行檢查。 在確定它們是否可能位於沙箱中後,越來越多的高級惡意軟體菌株如果檢測到完全空的或新創建的環境,就會拒絕運行。
這引導我們採用最先進的反惡意軟體形式:UEBA。
反映意見