Phát hiện mã độc dựa trên các hoạt động bất thường

0
459

Ai cũng có thể bị nhiễm virus và vì vậy chúng ta sẽ luôn cần phần mềm bảo vệ. Mục tiêu lớn nhất của phần mềm là ngăn không cho các file độc được thực thi trên máy tính. Chính vì vậy, các mẫu nhận diện phải được cập nhât một cách nhanh nhất và có thể Phát hiện mã độc ngay lập tức.

Phát hiện mã độc thông qua các hoạt động bất thường
Thực tế thì vẫn có nhiều tình huống phần mềm không phát hiện ra và để máy tính bị nhiễm. Khi đó thì có không ít trường hợp bất thường mà có vẻ như các phần mềm security chưa phát hiện được. Đây là một ví dụ:

Phát hiện mã độc dựa trên các hoạt động bất thường
Các firewall nếu đã cho phép một tiến trình được kết nối mạng thì sẽ không kiểm tra các kết nối đó nữa. Chính vì vậy, các phần mềm độc hại thường sẽ tìm cách núp bóng các tiến trình chuẩn để tìm cách trốn được sự kiểm soát.

Như vậy, nếu dùng công cụ rà soát các kết nối mạng thì bằng mắt, ta dễ dàng nhìn thấy có quá nhiều kết nối mạng từ svchost.exe ra địa chỉ IP ở bên ngoài. Tuy nhiên các phần mềm bảo vệ lại bỏ qua dấu hiệu nghi ngờ này.

Mã độc khi được thực thi đã inject vào tiến trình svchost chuẩn của Microsoft và mượn tiến trình này để câu ra bên ngoài.

Phát hiện mã độc dựa trên các hoạt động bất thường

Công việc tiếp theo là săn tìm “kẻ núp bóng” svchos

Kiểm tra mã độc trên Virustotal
Thường thì các mã độc sẽ không có chữ ký. Vì vậy ta sẽ có ngay được một file nghi ngờ.
Hầu hết các AV không phát hiện ra mã độc này.

Phát hiện mã độc dựa trên các hoạt động bất thường

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây