為什麼惡意軟體能夠逃避檢測?
在網路安全的背景下,儘管存在反惡意軟體控制,但逃避是執行惡意程式碼的做法。這種策略不會利用可修復的缺陷。相反,他們利用阻止現實世界中惡意軟體檢測的因素來實現其完整的理論潛力。
這些逃避因素包括:
- 模式檢測:防病毒工具,即使是那些採用最新方法的工具,也可以根據檔案或程序與之前看到的惡意模式的相似性來檢測惡意軟體,同時解決誤報。攻擊者調整惡意軟體以偏離這些模式。
- 端點效能:實時反惡意軟體技術必須平衡內省的徹底性以及避免降低端點效能的需求。攻擊者製造惡意軟體以在由於這種妥協而存在的盲點中操作。
- 執行時差異:徹底檢查帶外可疑檔案的惡意軟體分析工具使用與正常端點不同的執行環境。攻擊者會尋找此類差異,以便從這些工具中隱藏其惡意程式碼的真實性質。
- 人類行為:終端使用者往往匆忙,經常是多工,缺乏對安全專業人員所擁有的風險的深刻理解。攻擊者使用社會工程和其他策略誘騙受害者進入感染系統,壓倒防禦措施。
- 強大的功能:當今作業系統和應用程式的功能非常龐大,提供內建機制,即使不使用傳統的惡意軟體或漏洞,也可以危及端點。攻擊者濫用此類功能來繞過安全控制。
- 開放渠道:即使是高度限制性的,孤立的安全措施也需要適應業務互動,這需要訪問可能有助於攻擊者的資料或應用程式。攻擊者使用這些開放渠道來推進其惡意目標。
- 記憶體可變性:系統管理和安全工具在識別和阻止僅駐留在端點記憶體中的惡意程式碼方面很薄弱。攻擊者使用無檔案技術,通過避開檔案系統來破壞端點。
儘管存在現代端點安全工具,但這些現實因素為攻擊者提供了許多機會來製作感染端點的惡意軟體。惡意軟體可能會越來越成熟,因為它們增加了反檢測措施,但每天,安全社群都會發現新的方法,使用與惡意軟體相同的逃避策略來對抗它們,以其人之道還其人之身。