¿Defensa de inyección de código basada en host contra el virus?

4

Recientemente encontré un artículo titulado Ataques de inyección de código basados en host: una técnica popular utilizado por malware .

Otro documento titulado "Bee Master: Detección de ataques de inyección de código basado en host", sugiere un mecanismo de defensa contra los HBCIA.

Por lo que entiendo:

  1. El virus inyecta su código en un proceso víctima para ejecutarlo.
  2. El software antivirus puede defenderse contra estos ataques.

Mi consulta es ¿en qué se diferenciará "Bee Master" o cualquier otro mecanismo de defensa contra HBCIA del software antivirus de uso general?

    
pregunta Anurag 04.09.2015 - 21:30
fuente

1 respuesta

6

Esto se basa en la información que se encuentra aquí 1 , 2

Bee Master es un proyecto de investigación que describe un mecanismo para determinar si se ha producido un ataque de inyección de código basado en host. Lo hace ejecutando procesos "honeypot" que tienen un comportamiento bien conocido y luego monitorea esos procesos para ver si su patrón de comportamiento cambia.

Aunque Bee Master parece hacer un trabajo excelente (consulte página 17 ) de identificar que se ha producido un ataque, no tiene ningún mecanismo para responder a tal ataque. Como Bee Master solo detecta indirectamente los ataques debido a un cambio en el comportamiento en uno de sus procesos de honeypot, no siempre (tal vez nunca) lo que fue el vector de ataque; solo sabe que un proceso de honeypot fue manipulado.

No está claro cuál debería ser la respuesta adecuada cuando se detecta una inyección.

Aunque Bee Master solo se centra en esta detección indirecta de virus, las aplicaciones antivirus más típicas se centran en la detección directa de códigos maliciosos (p. ej., mediante un examen de código o una actividad de proceso sospechosa), terminando los procesos errantes y desinfectando la computadora.

    
respondido por el Neil Smithline 04.09.2015 - 23:26
fuente

Lea otras preguntas en las etiquetas