Nick Lewis(CISSP,GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目,并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年,Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年,又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前,Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級(jí)兒科教學(xué)醫(yī)院,以及Internet2和密歇根州立大學(xué)工作。
Detekt工具識(shí)別惡意軟件有多厲害?是否有其他與此類(lèi)似的免費(fèi)工具可以用在企業(yè)中?
Nick Lewis:對(duì)于反惡意軟件供應(yīng)商而言,檢測(cè)國(guó)家資助的惡意軟件或商業(yè)監(jiān)控軟件(例如Back Orifice、Dameware或其他遠(yuǎn)程管理木馬程序)非常困難。由于新的國(guó)家資助的惡意軟件的意圖不符合惡意軟件預(yù)定目標(biāo)的最佳利益,而是符合國(guó)家贊助者的利益,如果反惡意軟件供應(yīng)商添加檢測(cè)功能來(lái)阻止這些國(guó)家支持的惡意軟件,這可能讓反惡意軟件供應(yīng)商被列在該國(guó)家的不友好名單中。遠(yuǎn)程管理木馬Back Orifice在當(dāng)時(shí)不太難對(duì)付,因?yàn)槟切┖戏ㄊ褂盟娜酥廊绾巫屧撥浖\(yùn)行,因此反惡意軟件供應(yīng)商可以阻止非法Back Orifice使用,而不會(huì)像國(guó)家資助的攻擊者那么難以對(duì)付。
免費(fèi)Detekt工具可以由企業(yè)用來(lái)發(fā)現(xiàn)最新版本的DarkComet、FinFisher、njRAT和Gh0st RAT惡意軟件。該工具由Claudio Guarnjeri與Amnesty International、Digitale Gesellschaft、Privacy International和電子前沿基金會(huì)共同開(kāi)發(fā),以幫助人權(quán)活動(dòng)家、記者等可能被國(guó)家資助的攻擊者瞄準(zhǔn)的人,或使用無(wú)法阻止國(guó)家支持的惡意軟件的商業(yè)反惡意軟件工具的人。然而,重要的是要注意,Detekt不能檢測(cè)商業(yè)工具可以檢測(cè)到的所有不同惡意軟件變體,它只是用來(lái)幫助發(fā)現(xiàn)商業(yè)工具無(wú)法識(shí)別的惡意軟件。
Detekt通過(guò)結(jié)合使用Yara、Volatility和Winpmem工具來(lái)掃描潛在目標(biāo)系統(tǒng)的內(nèi)存中監(jiān)控惡意軟件的蹤跡來(lái)發(fā)現(xiàn)惡意軟件。然后Detekt收集的日志可以由專(zhuān)家來(lái)審查。
企業(yè)可以使用類(lèi)似的方法來(lái)發(fā)現(xiàn)和分析未知惡意軟件。思科AMP或FireEye MIR Endpoint Forensics等端點(diǎn)安全工具可以在企業(yè)實(shí)現(xiàn)這種類(lèi)型的分析,但大多數(shù)標(biāo)準(zhǔn)反惡意軟件工具沒(méi)有。