Forstå risikoen kan også kreve en forståelse av angriperen, samt motivene for trusselen skuespiller. Noen hendelser starte med en enkel og tilsynelatende lav risiko angrep først infiltrere en bedrifts nettverk, men når man får tilgang, kan angriperen bruke ekstra - og mer sofistikerte -. Verktøy for å forårsake ytterligere skader
de samme trinnene er også sant for malware livssyklus.
La oss ta en titt på malware livssyklus og utforske hvor avansert angrep fungerer, hvordan de har utviklet seg, og hvordan sikkerhetsforskere kan ha nytte av å studere malware livssykluser for å oppdage og forsvare seg mot fremtidige angrep
sak:. Eksempler på utvikling malware
TeslaCrypt er et angrep som har utviklet seg betydelig siden den først ble oppdaget i februar 2015. angrepet første får tilgang til et system når et offer besøker en ondsinnet nettside hosting en verktøykasse som utnytter en sårbarhet i nettleseren. TeslaCrypt bruker også OpenSSL for sine kryptografiske algoritmer, som fjerner dekryptering funksjonalitet som normalt ville tillate malware å bli ytterligere analysert av en organisasjon under angrep. Angrepet også vedtatt HTML nettsiden fra CryptoWall 3.0 for GUI, erstatte sin gamle GUI. Alle disse fremskritt har vært en del av malware evolusjon å redusere deteksjon priser og øke tilfeller av ofrene betaler for å gjenopprette sine data fra en infisert system.
På samme måte ble det nylig rapportert at ransomware utviklet seg ut av et klikksvindel angrep, en trussel som er ofte sett på som en plage enn en bekymringsfull problem.
sikkerhet forskere kan ha nytte av å studere malware livssykluser for å oppdage og forsvare seg mot både nåværende og fremtidige angrep.
Akkurat som tradisjonell programvare utvikling og modenhet ved hjelp Modellen starter malware livssyklusen til en lav innledende modenhetsnivå. For eksempel kan malware forfattere skape vellykkede malware (et stort antall infeksjoner eller høy inntekt), men brukte ikke repeterbare prosesser eller var ikke i stand til å tilpasse seg når deres malware ble oppdaget av antimalware verktøy. Denne type malware kanskje ikke har evnen til å auto-oppdatering for å unngå å bli oppdaget, og bedrifter vil derfor kreve mindre innsats for å avhjelpe fra en infeksjon; disse angrepene kan derfor bli klassifisert til en lavere prioritet enn høyere risiko, mer moden malware.
For å heve sin malware til en optimalisert nivå av modenhet, forfattere legger stadig til nye funksjoner tilpasset fra andre vellykkede malware angrep, eller identifisere - og korrigere - komponenter av angrep som var mislykket (for eksempel finne ut hvorfor det ble lett oppdaget av antimalware verktøy). Malware på det høyeste nivået av modenhet er den mest farlig for en bedrift, som har den mest avansert funksjonalitet og derfor er mest vanskelig å fjerne og oppdage. Tatt i betraktning, bør det være på et høyere prioritet for utbedring.
Mens de neste trinnene i utviklingen for TeslaCrypt og andre fremme malware er ukjent, mest malware vedtar vellykkede funksjoner fra andre avanserte angrep eller vellykket malware. Det er sannsynlig at gruppen bak TeslaCrypt og klikksvindel vil fortsette å utvikle seg til å møte sine mål.
Hvordan oppdage og forsvare seg mot fremtidige angrep
Den viktigste delen av å beskytte et foretak fra TeslaCrypt og andre utviklende malware er gode backup - disse vil sikre at data er fortsatt tilgjengelig bør malware kryptere eller slette den. Raskt å installere nettleser patcher og browser plug-ins hjelper også hindre malware fra å infisere et system.
Et foretak kan oppdage endringer i en bestemt del av malware ved å overvåke risiko rangeringer av en sentralisert antimalware konsoll eller nettverksbasert antimalware verktøyet.
i tillegg bør bedrifter øke prioriteten for å reagere på infeksjoner hvis en ny malware familien går fra første funn til å legge til nye høy-risiko funksjonalitet.
Hvis en lav-risiko trussel oppdages på et endepunkt og det begynner å oppføre seg uberegnelig eller på måter som ikke kan knyttes til publisert analyse av malware, kanskje en bedrift ønsker å undersøke endepunktet som om det har vært fullt kompromittert, som malware kan ha hatt sin modenhet flyttet til høyere risiko. Dette kan skje når endringer i klassifiseringen ikke har blitt implementert i antimalware verktøy, da disse dataene ikke har blitt sendt til nye datamaskiner, eller den infiserte datamaskinen begynte å skanne nettverket. For malware som øker risiko eller er en " dropper " kjent for å inkludere høy risiko malware, det tryggeste alternativet for å avhjelpe den endepunktet er å sikre at alle data blir sikkerhetskopiert og deretter sikkert installere operativsystemet og programvaren. Dette vil fjerne nesten all malware. Alle brukere - inkludert en administrator - av systemet bør også endre hennes passord for å sikre tilgang til kontoen legitimasjon kan ikke gjenbrukes i et angrep
Sikkerhet forskere kan ha nytte av å studere malware livssykluser for å oppdage og forsvare seg mot. både nåværende og fremtidige angrep. Ved å få bedre forståelse av hvordan malware utvikler seg og hvordan malware forfattere utvikle sine angrep, kan en bedrift forbedre hvordan det prioriterer og bruker sikkerhets ressurser og kontroller som forbedrer deteksjon og /eller forsvare seg mot malware. For eksempel kan en bedrift analysere årsaken til flere infeksjoner malware ved hjelp av et verktøy som Anubis, ollydbg eller Immunity Debugger for å lære hvordan systemet ble smittet, hvordan malware utviklet seg, og hva responsen var nødvendig å fjerne infeksjonen. Årsaken kan være så enkelt som unpatched programvare på et endepunkt, som krever forbedrede patching prosesser eller en annen sikkerhetskontrollen, for eksempel en programvare sandkasse eller hvitlisting.
Å ignorere en lav-risiko angrep er gjort med fare for en bedrift, men det kan være nødvendig for å prioritere ressurser i foretaket for høyere nivå trusler. Bedrifter må fortsette å prioritere sine sikkerhetsprogrammer, men vet at de kanskje må raskt vurdere risikoen fra en spesiell sårbarhet eller angrep ved slipp av en lue og avgjøre når tiltak må iverksettes for å avhjelpe et endepunkt hele malware livssyklus.