駭客步步進逼 如何自我檢測未知惡意軟體與活動

編譯/鄭智懷

隨著資訊科技日新月異,資安攻防在可預見的未來仍會不斷延續下去。其中,大量未被資安業者和研究者發現的惡意軟體會帶來嚴峻的資安威脅,並可能導致慘重損失。因此,專家呼籲各界應慎防未知的惡意軟體,並利用各種檢測手段揪出潛伏的有害軟體和不法活動。

整體而言,未知的惡意軟體之所以讓現有檢測手段面臨重大挑戰,是因為五大特點:第一,惡意軟體開發者不斷改良已知惡意軟體,製作變種版本;第二,存在未知且沒有任何檢測規則集(ruleset)的惡意軟體;第三,部分惡意軟體在某段時間內完全無法檢測(FUD);第四,代碼處於加密狀態,無法透過基於簽署(signature)的安全機制發現;惡意軟體可能利用減少傳輸代碼的模式阻止或延緩檢測工作。

隨著資訊科技日新月異,資安攻防在可預見的未來仍會不斷延續下去。其中,大量未被資安業者和研究者發現的惡意軟體會帶來嚴峻的資安威脅,並可能導致慘重損失。示意圖:RF123

專家建議,研究者應採取分析已知惡意軟體代碼的現有資訊,以及觀察惡意活動指標入手,檢測、分析並推斷任何可能存在的資安威脅。

首先,研究者先後使用逆向工程分析、逆向工程分析與動態分析法確定代碼的目標、性質,行為特徵,接著在隔離的可控環境中觀察,確定該代碼是否存有惡意。

其次,研究者在沙盒中啟動代碼─假使其具有惡意,辨識其熱盒異常活動,例如讀取或修改檔案、登入系統資源、連接到遠端伺服器、執行其他惡意命令、利用系統已知漏洞。

透過上述程序,即使面對未知的惡意軟體與活動,研究者仍可藉由現有資訊一步步推斷其威脅功能與程度,進而增強個人或組織面對新興或未知惡意軟體威脅的能力。

資料來源:The Hacker News

瀏覽 569 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button