Agregar firmas / herramientas de red falsas para la defensa de malware

Navega tus respuestas
0

Estaba buscando la implementación de una medida de seguridad agregando firmas / herramientas de análisis falsas en las PC clientes.

La idea es que cierto malware escanearía el entorno en busca de herramientas de análisis, y si el malware está endurecido, se extinguirá antes de que pueda ser analizado.

Si implementara esto, ¿se consideraría una solución viable para ciertos tipos de malware y también qué tan práctico sería para un entorno empresarial?

Nota: esta es una parte de Simulación de entorno hostil de Minerva , pero solo deseo usar esta pieza y potencialmente solo elimine estas herramientas / firmas falsas como actualizaciones de las PC clientes.

    
pregunta Vandal 21.03.2018 - 16:47
fuente

3 respuestas

2

Yo digo que menos del 1% del malware hace la detección de sandbox / av / lo que sea.

Recientemente procesé ~ 20k muestras de malware de enlace como parte de un proyecto de aprendizaje automático. Tuve que revertir parcialmente muchos de ellos, etc. Me sorprendió la horrible calidad de su malware promedio. Solo vi un puñado de muestras verificando su entorno.

Supongo que su energía se gasta mejor en otros lugares (mejor monitoreo de puntos finales, etc.).

    
respondido por el manduca 22.03.2018 - 15:08
fuente
2

Esto está hecho, de alguna manera. El malware WannaCry, por ejemplo, verificó si el dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com estaba registrado y no podía resolverse. Si estaba presente, el malware se apaga. El dominio fue registrado para reducir la propagación del malware.

Otros programas maliciosos pueden verificar la presencia de un determinado archivo en la computadora. Si el archivo está presente, el malware se terminará solo. Esto se hace a veces para prevenir múltiples infecciones simultáneas, y a veces se hace como una forma perezosa para que el autor del malware lo neutralice en sus propios sistemas.

Entonces, ¿por qué los sistemas antimalware no llenan su computadora con estas firmas? Simplemente porque, si el malware es conocido de antemano, es mucho más fácil bloquearlo directamente con la detección basada en firmas. En cuanto a la colocación oportunista de herramientas de depuración en el sistema para engañar al malware y hacer que piense que se está analizando, simplemente no hay suficientes intentos de malware para detectar eso. No sería un enfoque rentable comparado con, digamos, endurecer su sistema. Otra razón es que algunos programas maliciosos detectan la depuración generando un hijo y depurándose mutuamente, ya que solo se puede adjuntar un depurador a un proceso en un momento dado. Engañar a este tipo de comportamiento anti-depuración requeriría adjuntar un depurador a cada programa que se ejecuta, con la esperanza de que uno de ellos sea malicioso y se termine de forma resumida.

    
respondido por el forest 22.03.2018 - 01:44
fuente
0

Es una idea interesante. Sabemos que algunos programas maliciosos buscan procesos que se ejecutan y finalizan automáticamente para evitar la detección. Desafortunadamente, no todo el malware hace eso.

También hay una compensación a considerar. Puede haber un costo de licencia asociado con la herramienta utilizada, así como los recursos consumidos con la prevención de malware.

Lo más importante, ¿qué estás tratando de proteger? ¿PC clientes? Servidores? Fabricando dispositivos? El esquema de protección para estos todo difiere.

No confiaría en esto como la única solución o incluso una solución para ciertos tipos de malware. Detendría ciertas piezas de malware, pero esa es una amenaza en constante evolución y un universo bastante vasto.

No lo llamaría poco práctico, pero diría que es de utilidad limitada.

    
respondido por el baldPrussian 21.03.2018 - 17:00
fuente

Lea otras preguntas en las etiquetas

¿El servidor de Windows es más vulnerable para la extracción de contraseña durante el cierre? ¿Hay alguna forma de evitar la restricción PATH (.htaccess) (en las URL)?