如何通過可疑活動檢測新威脅？

作者：布加迪 2023-03-09 07:54:54

網絡犯罪分子可以利用未知威脅向企業勒索錢財，并發動大規模網絡攻擊。即使惡意軟件家族沒有被檢測出來，我們也總是可以通過觀察分析其行為來推斷威脅的功能。利用這些數據，就可以構建信息安全以防止任何新的威脅。行為分析在不增加成本的情況下增強了應對新型未知威脅的能力，并加強了貴組織的保護。

未知的惡意軟件構成了重大的網絡安全威脅，可能對組織和個人造成嚴重損害。如果沒有被檢測出來，惡意代碼就可以訪問機密信息、破壞數據，并允許攻擊者操控系統。本文介紹了如何避免這些情形，并有效地檢測未知的惡意行為。

檢測新威脅面臨的挑戰

雖然已知的惡意軟件家族更容易預測，也更容易被檢測出來，但未知的威脅可能以多種形式呈現，這就給檢測它們帶來了一系列挑戰：

1. 惡意軟件開發人員使用多態性，這使他們能夠修改惡意代碼，以便生成同一種惡意軟件的獨特變體。

2. 有些惡意軟件仍未被識別，也缺少檢測它們的任何規則集。

3. 一些威脅可能在一段時間內完全不可檢測（FUD），這給邊界安全出了難題。

4. 代碼常常是經過加密的，因此很難被基于特征的安全解決方案檢測出來。

5. 惡意軟件的編寫者可能使用一種“少量而緩慢”的方法，即在很長一段時間內通過網絡發送少量惡意代碼，因而加大了檢測和攔截的難度。這在企業網絡中尤其具有破壞性，因為無法深入了解環境可能導致未被檢測出來的惡意活動。

檢測新威脅

研究人員在分析已知的惡意軟件家族時，可以充分利用關于惡意軟件的現有信息（比如行為、攻擊載荷和已知漏洞），以便檢測和響應它。

不過在應對新威脅時，研究人員必須從頭開始，使用以下指南：

第1步：使用逆向工程來分析惡意軟件的代碼，以確定其目的和惡意性質。

第2步：使用靜態分析來檢查惡意軟件的代碼，以確定其行為、攻擊載荷和漏洞。

第3步：使用動態分析來觀察惡意軟件在執行期間的行為。

第4步：使用沙盒機制在隔離的環境中運行惡意軟件，以觀察其行為，又不損害系統。

第5步：使用啟發式方法，根據可觀察到的模式和行為來識別可能惡意的代碼。

第6步：分析逆向工程、靜態分析、動態分析、沙盒機制和啟發式方法的結果，以確定代碼是不是惡意代碼。

外頭有眾多工具可以幫助你完成上面這5個步驟，從Process Monitor、Wireshark到ANY.RUN，不一而足。但如何得出一個準確的結論？在擁有所有這些數據的同時，你又應該注意什么？

答案很簡單：關注惡意行為的指標。

監控可疑活動以實現高效檢測

不同的特征被用來檢測威脅。在計算機安全術語中，特征是與計算機網絡或系統上的惡意攻擊相關聯的典型足跡或模式。

這些特征的一部分是行為特征。在操作系統中做了一番手腳而不留下跟蹤是不可能做到的。我們可以通過可疑活動來識別是什么軟件或腳本。

你可以在沙盒中運行可疑程序，以觀察該惡意軟件的行為，并識別任何惡意行為，比如：

異常的文件系統活動

可疑的進程創建和終止

異常的網絡活動

讀取或修改系統文件

訪問系統資源

創建新用戶

連接到遠程服務器

執行其他惡意命令

利用系統中的已知漏洞

微軟Office啟動了PowerShell，是不是覺得看起來很可疑？一個應用程序將自己添加到計劃任務中，一定要注意它。svchost進程在臨時注冊表中運行，肯定哪里出了岔子。

你總是可以通過行為檢測到任何威脅，即使沒有特征。

不妨證明一下。

第一個用例

這是竊取器的一個樣本。它執行什么操作？竊取用戶數據、cookie和錢包等。我們如何才能檢測它？比如說，當該應用程序打開Chrome瀏覽器的Login Data（登錄數據）文件時，它就會暴露自己。