So come vengono utilizzate le firme per rilevare campioni di malware di malware e tecniche già note da applicare all'uso.
1. Quali sono alcune delle diverse tecniche comportamentali utilizzate da antivirus / antimalware?
Esistono metodi comuni per il funzionamento del malware: attualmente alcuni utilizzano PowerShell, ad esempio per richiamare il download del payload e l'esecuzione. Questo è normalmente il trigger da dire che Word.exe che chiama cmd.exe ha quindi chiamato powershell.exe con argomenti.
Quindi rilevare se un processo per cmd.exe è stato creato a parola è un indicatore di potenziale attività malware e ha un processo figlio di powershell.exe.
Ora ci sono alcuni attacchi comuni che hanno indicatori come quelli elencati da mitra: link
Dati i tipi di attacco conosciuti puoi rilevare questo comportamento e rispondere. Se inizi a raggruppare i diversi tipi di attacchi concatenati ti aspetteresti di poter determinare se in una certa misura se qualcosa è malato. Un buon esempio di uno strumento che monitora il comportamento dannoso è sysmon
Sysmon può essere configurato per cercare determinati tipi di comportamento e scritture nel registro eventi di Windows.
Ovviamente se una nuova categoria di attacco con nuovi indicatori diventa un problema. Così ora cominci anche a determinare qual è il comportamento normale su un sistema usando alcune tecniche ai, quindi se qualcosa di normale si verifica può essere contrassegnato e altri indicatori guardati.
Leggi altre domande sui tag malware virus antivirus antimalware virus-removal