Aggiunta di strumenti / firme di rete falsi per la difesa da malware

0

Stavo cercando di implementare una misura di sicurezza aggiungendo strumenti / firme di analisi falsi sui PC client.

L'idea è che alcuni malware eseguano la scansione dell'ambiente per gli strumenti di analisi e, se il malware è indurito, si interromperà prima che possa essere analizzato.

Se l'ho implementato, sarebbe considerato una soluzione valida per determinati tipi di malware e anche quanto sarebbe pratico per un ambiente aziendale?

Nota: questa è una parte di La simulazione dell'ambiente ostile di Minerva , ma desidero solo utilizzare questo pezzo e potenzialmente spingere questi falsi strumenti / firme come aggiornamenti ai PC client.

    
posta Vandal 21.03.2018 - 16:47
fonte

3 risposte

2

Dico che meno dell'1% del malware fa sandbox / av / whatever-detection.

Recentemente ho elaborato campioni di malware 20k da link come parte di un progetto di apprendimento automatico. Ho dovuto invertire parzialmente molti di essi, ecc. Sono rimasto sconvolto dall'orribile qualità del tuo malware medio. Ho visto solo una manciata di campioni controllare il loro ambiente.

La mia ipotesi è che la tua energia venga spesa meglio altrove (migliore monitoraggio degli endpoint, ecc.).

    
risposta data 22.03.2018 - 15:08
fonte
2

Questo è fatto, in un certo senso. Il malware WannaCry per esempio ha verificato se il dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com è stato registrato e potrebbe essere risolto. Se era presente, il malware si spegne. Il dominio è stato registrato per rallentare la diffusione del malware.

Altri malware potrebbero verificare la presenza di un determinato file sul computer. Se il file è presente, il malware si interromperà da solo. Questo a volte viene fatto per prevenire più infezioni simultanee e talvolta viene fatto come un modo pigro per consentire all'autore del malware di neutralizzarlo sui propri sistemi.

Quindi perché i sistemi antimalware non popolano il tuo computer con queste firme? Semplicemente perché, se il malware è noto in anticipo, è molto più facile semplicemente bloccarlo direttamente con il rilevamento basato sulla firma. Per quanto riguarda l'opportunistica immissione di strumenti di debug sul sistema per ingannare il malware nel pensare che venga analizzato, semplicemente non sono sufficienti tentativi di malware per rilevarlo. Non sarebbe un approccio economico rispetto a, ad esempio, rafforzare il sistema. Un altro motivo è che alcuni malware rilevano il debugging generando un figlio e reciprocamente facendo il debug a vicenda, poiché un solo debugger può essere collegato a un processo in qualsiasi momento. Prendere in giro questo tipo di comportamento anti-debug richiederebbe il collegamento di un debugger a ogni programma che si esegue, nella speranza che uno di essi sia malevolo e terminerà in modo sommario.

    
risposta data 22.03.2018 - 01:44
fonte
0

È un'idea interessante. Sappiamo che alcuni malware cercano i processi in esecuzione e si auto-terminano per evitare il rilevamento. Sfortunatamente, non tutti i malware lo fanno.

C'è anche un compromesso da considerare. Potrebbe esserci un costo di licenza associato allo strumento utilizzato e risorse consumate con la prevenzione del malware.

Soprattutto, cosa stai cercando di proteggere? PC client? I server? Dispositivi di produzione? Lo schema di protezione per questi è tutto diverso.

Non fare affidamento su questo come l'unica soluzione o anche una soluzione per determinati tipi di malware. Fermerebbe alcuni pezzi di malware ma questa è una minaccia in continua evoluzione e un universo piuttosto vasto.

Non lo definirei impraticabile, ma direi che è di utilità limitata.

    
risposta data 21.03.2018 - 17:00
fonte

Leggi altre domande sui tag