駭客步步進逼　如何自我檢測未知惡意軟體與活動

編譯／鄭智懷

隨著資訊科技日新月異，資安攻防在可預見的未來仍會不斷延續下去。其中，大量未被資安業者和研究者發現的惡意軟體會帶來嚴峻的資安威脅，並可能導致慘重損失。因此，專家呼籲各界應慎防未知的惡意軟體，並利用各種檢測手段揪出潛伏的有害軟體和不法活動。

整體而言，未知的惡意軟體之所以讓現有檢測手段面臨重大挑戰，是因為五大特點：第一，惡意軟體開發者不斷改良已知惡意軟體，製作變種版本；第二，存在未知且沒有任何檢測規則集（ruleset）的惡意軟體；第三，部分惡意軟體在某段時間內完全無法檢測（FUD）；第四，代碼處於加密狀態，無法透過基於簽署（signature）的安全機制發現；惡意軟體可能利用減少傳輸代碼的模式阻止或延緩檢測工作。

專家建議，研究者應採取分析已知惡意軟體代碼的現有資訊，以及觀察惡意活動指標入手，檢測、分析並推斷任何可能存在的資安威脅。

首先，研究者先後使用逆向工程分析、逆向工程分析與動態分析法確定代碼的目標、性質，行為特徵，接著在隔離的可控環境中觀察，確定該代碼是否存有惡意。

其次，研究者在沙盒中啟動代碼─假使其具有惡意，辨識其熱盒異常活動，例如讀取或修改檔案、登入系統資源、連接到遠端伺服器、執行其他惡意命令、利用系統已知漏洞。

透過上述程序，即使面對未知的惡意軟體與活動，研究者仍可藉由現有資訊一步步推斷其威脅功能與程度，進而增強個人或組織面對新興或未知惡意軟體威脅的能力。

資料來源：The Hacker News

瀏覽 489 次