Host basato su codice di difesa di difesa contro anti virus?

4

Recentemente mi sono imbattuto in un documento intitolato attacchi di iniezione di codice basati su host: una tecnica popolare utilizzato dal malware .

Un altro documento intitolato "Bee Master: Rileva attacchi di iniezione di codice basato su host", suggerisce un meccanismo di difesa contro l'HBCIA.

Da quello che capisco:

  1. Virus inietta il loro codice in un processo vittima per eseguirlo.
  2. Il software antivirus è in grado di difendersi da questi attacchi.

La mia domanda è: in che modo "Bee Master" o qualsiasi altro meccanismo di difesa contro HBCIA sarà diverso dal software antivirus generalmente utilizzato?

    
posta Anurag 04.09.2015 - 21:30
fonte

1 risposta

6

Questo è basato sulle informazioni trovate qui 1 , 2

Bee Master è un progetto di ricerca che descrive un meccanismo per determinare se si è verificato un attacco di iniezione di codice basato su host. Lo fa eseguendo processi "honeypot" che hanno un comportamento ben noto e quindi monitorando tali processi per vedere se il loro modello di comportamento cambia.

Mentre Bee Master sembra fare un lavoro eccellente (vedi pagina 17 ) di identificare che si è verificato un attacco, non ha alcun meccanismo per rispondere a tale attacco. Poiché Bee Master rileva solo indirettamente gli attacchi a causa di un cambiamento di comportamento in uno dei suoi processi honeypot, non può sempre (forse mai) quale sia il vettore di attacco; semplicemente sa che un processo honeypot è stato manomesso.

Non è chiaro quale debba essere la risposta appropriata quando viene rilevata un'iniezione.

Sebbene Bee Master si concentri solo su questo rilevamento indiretto di virus, le applicazioni anti-virus più tipiche si concentrano sul rilevamento diretto di codice dannoso (ad esempio tramite esame del codice o attività sospetta del processo), interrompendo i processi errati e disinfettando il computer.

    
risposta data 04.09.2015 - 23:26
fonte

Leggi altre domande sui tag