详细内容或原文请订阅后点击阅览
黑暗中的一枪:恶意软件疫苗能否阻止勒索软件的猖獗?
功能 安全专家探讨感染欺骗代码是否可以使 Windows 系统免受攻击,预防或治疗哪个更好?长期以来,全球网络安全行业一直通过对攻击和计算机病毒做出反应来运作。但鉴于勒索软件持续升级,需要采取更积极主动的行动。
来源:The Register _恶意软件特征 预防和治疗哪个更好?长期以来,全球网络安全行业一直通过对攻击和计算机病毒做出反应来运作。但鉴于勒索软件持续升级,需要采取更积极主动的行动。
功能恶意软件疫苗是最近在海牙举行的 ONE 会议上讨论的热门话题,全球网络安全公司 Recorded Future 逆向、仿真和测试团队的高级经理 Justin Grosfelt 在会上提出了新的研究,表明可以开发仅对 Windows PC 进行表面更改的代码,以诱骗恶意软件不去感染它。
恶意软件疫苗的工作原理
通常,当勒索软件进入 Windows 计算机时,它首先会扫描缓存内存、注册表项、文件路径和正在运行的进程,以查看系统是否已被感染、在恶意软件分析师的计算机上运行,还是尝试在虚拟机的沙盒环境中运行。
如果它看到任何这些迹象,它就会放弃,但如果没有,勒索软件就会向网络犯罪分子的服务器发送一条消息,并开始下载有效负载,然后窃取数据、锁定文件并发出勒索金钱的要求。
到目前为止,疫苗的工作原理是在 Windows 系统上创建“感染标记”,通过在 PC 上放置小型诱饵文件、编辑注册表或创建虚假互斥对象来欺骗恶意软件放弃攻击。
诱饵文件不是什么问题,因为当它们执行时,它们实际上不会执行任何操作,但如果恶意软件查看计算机上当前运行的进程,它会看到“mal.exe”或“vmware-vmx.exe”正在运行,例如,并推断该计算机要么已经被感染,要么正在运行流行的虚拟机软件。
编辑注册表会产生更严重的后果,但已成功用于禁用恶意软件,例如 Binary Defense 的研究人员在 2020 年创建了 EmoCrash 终止开关。
2020 年 EmoCrash 终结开关 银行木马 Emotet Recorded Future 做了什么 OpenSSL