Nick Lewis(CISSP,GCWN))是一名信息安全分析師。他主要負責風險管理項目,并支持該項目的技術PCI法規遵從計劃。2002年,Nick獲得密歇根州立大學的電信理學碩士學位;2005年,又獲得Norwich大學的信息安全保障理學碩士學位。在他09年加入目前的組織之前,Nick曾在波士頓兒童醫院、哈佛醫學院初級兒科教學醫院,以及Internet2和密歇根州立大學工作。
Detekt工具識別惡意軟件有多厲害?是否有其他與此類似的免費工具可以用在企業中?
Nick Lewis:對于反惡意軟件供應商而言,檢測國家資助的惡意軟件或商業監控軟件(例如Back Orifice、Dameware或其他遠程管理木馬程序)非常困難。由于新的國家資助的惡意軟件的意圖不符合惡意軟件預定目標的最佳利益,而是符合國家贊助者的利益,如果反惡意軟件供應商添加檢測功能來阻止這些國家支持的惡意軟件,這可能讓反惡意軟件供應商被列在該國家的不友好名單中。遠程管理木馬Back Orifice在當時不太難對付,因為那些合法使用它的人知道如何讓該軟件運行,因此反惡意軟件供應商可以阻止非法Back Orifice使用,而不會像國家資助的攻擊者那么難以對付。
免費Detekt工具可以由企業用來發現最新版本的DarkComet、FinFisher、njRAT和Gh0st RAT惡意軟件。該工具由Claudio Guarnjeri與Amnesty International、Digitale Gesellschaft、Privacy International和電子前沿基金會共同開發,以幫助人權活動家、記者等可能被國家資助的攻擊者瞄準的人,或使用無法阻止國家支持的惡意軟件的商業反惡意軟件工具的人。然而,重要的是要注意,Detekt不能檢測商業工具可以檢測到的所有不同惡意軟件變體,它只是用來幫助發現商業工具無法識別的惡意軟件。
Detekt通過結合使用Yara、Volatility和Winpmem工具來掃描潛在目標系統的內存中監控惡意軟件的蹤跡來發現惡意軟件。然后Detekt收集的日志可以由專家來審查。
企業可以使用類似的方法來發現和分析未知惡意軟件。思科AMP或FireEye MIR Endpoint Forensics等端點安全工具可以在企業實現這種類型的分析,但大多數標準反惡意軟件工具沒有。
京公網安備 11010502049343號