funcionamiento (basado en el comportamiento) de un antivirus [cerrado]

0

Sé cómo se usan las firmas para detectar muestras de malware de malware ya conocido y las técnicas que se aplican al uso.

1.¿Cuáles son algunas de las diferentes técnicas de comportamiento que utilizan los antivirus / antimalware?

  1. Si quisiera usar algunas técnicas de comportamiento, ¿cómo usarlas? Al igual que en la base de firmas, podríamos tomar directamente un archivo y en base a los archivos de escaneo / proceso / etc.
pregunta Bruteforce 19.01.2018 - 20:17
fuente

1 respuesta

1

Hay formas comunes en las que el malware funciona: en la actualidad, muchos utilizan PowerShell, por ejemplo, para descargar la carga útil y ejecutar. Normalmente, esto se debe a que, por ejemplo, Word.exe llamando a cmd.exe ha llamado a powershell.exe con argumentos.

Por lo tanto, detectar si un proceso para cmd.exe se ha creado por palabra es un indicador de la actividad de malware potencial y tiene un proceso secundario de powershell.exe.

Ahora hay bastantes ataques comunes que tienen indicadores como estos enumerados por Mitre: enlace

Dados los tipos de ataque conocidos, puedes detectar este comportamiento y responder. Si comienzas a agrupar los diferentes tipos de ataques encadenados, es de esperar que puedas determinar si, hasta cierto punto, si algo es malo. Un buen ejemplo de una herramienta que controla el comportamiento malicioso es sysmon

Sysmon puede configurarse para buscar solo ciertos tipos de comportamiento y escribir en el registro de eventos de Windows.

Obviamente, si una nueva categoría de ataque con nuevos indicadores se convierte en un problema. Así que ahora también comienza a determinar cuál es el comportamiento normal en un sistema utilizando algunas técnicas de ai, por lo que si ocurre algo fuera de lo normal, se puede marcar y se pueden ver otros indicadores.

    
respondido por el McMatty 27.01.2018 - 07:51
fuente

Lea otras preguntas en las etiquetas