Phát hiện mã độc dựa trên các hoạt động bất thường

Ai cũng có thể bị nhiễm virus và vì vậy chúng ta sẽ luôn cần phần mềm bảo vệ. Mục tiêu lớn nhất của phần mềm là ngăn không cho các file độc được thực thi trên máy tính. Chính vì vậy, các mẫu nhận diện phải được cập nhât một cách nhanh nhất và có thể Phát hiện mã độc ngay lập tức.

Thực tế thì vẫn có nhiều tình huống phần mềm không phát hiện ra và để máy tính bị nhiễm. Khi đó thì có không ít trường hợp bất thường mà có vẻ như các phần mềm security chưa phát hiện được. Đây là một ví dụ:

Các firewall nếu đã cho phép một tiến trình được kết nối mạng thì sẽ không kiểm tra các kết nối đó nữa. Chính vì vậy, các phần mềm độc hại thường sẽ tìm cách núp bóng các tiến trình chuẩn để tìm cách trốn được sự kiểm soát.

Như vậy, nếu dùng công cụ rà soát các kết nối mạng thì bằng mắt, ta dễ dàng nhìn thấy có quá nhiều kết nối mạng từ svchost.exe ra địa chỉ IP ở bên ngoài. Tuy nhiên các phần mềm bảo vệ lại bỏ qua dấu hiệu nghi ngờ này.

Mã độc khi được thực thi đã inject vào tiến trình svchost chuẩn của Microsoft và mượn tiến trình này để câu ra bên ngoài.

 Công việc tiếp theo là săn tìm “kẻ núp bóng” svchos

Thường thì các mã độc sẽ không có chữ ký. Vì vậy ta sẽ có ngay được một file nghi ngờ.

Hầu hết các AV không phát hiện ra mã độc này.

Nguyen Minh Duc

http://ducasec.com

Từng là chuyên viên cao cấp, Phó Chủ Tịch phụ trách An Ninh Mạng tại công ty an ninh mạng Bkav. Là chuyên gia về Big Data, DDOS, tổng quan về Security Hiện đang làm việc tại Ban Công Nghệ Tập Đoàn FPT