Spør eksperten
Har du spørsmål om bedriften trusler for ekspert Nick Lewis malware oppdagelsen i brukerprofilen? Sende dem via e-post i dag! (Alle spørsmål er anonyme.)
En felles tilnærming for usofistikert malware forfattere er å dra nytte av teknikkene som brukes av mer sofistikerte hacks og innlemme dem i sine egne angrep. Atypisk plassering installerer har blitt utnyttet av sofistikerte angripere minst siden 1995. Teknikken med å lage en katalog ingen vet om eller kan finne har vist seg ganske nyttig for å bremse bedriften hendelsesoppdaging og respons.
Over tid, atypisk steds installasjoner har endret seg fra å bruke spesialtegn i mappenavn, slakk plass eller blir lagret i alternative datastrømmer (ADS) på NT File System (NTFS) å gjemmer seg i vanlig skue i brukerens profil katalogen. Siden uventede data i slakk plass og alternative data damper ikke kan finnes ved bare å skanne filsystemet til en kompromittert datamaskin, både slakk plass og ADS må undersøkes forensically for " skjule " data.
Det faktum at 67% av cyberattacks samplet i RSA er Blueprint rapport bruker atypisk plassering installeres på brukerens profilkatalog kunne tilskrives det privilegium nivå av brukeren er logget inn på tidspunktet for malware installasjon. Siden innloggede brukere (hvis ikke en administrator) kan bare skrive til sin profil, malware forfattere har mye mer fleksibilitet når du bestemmer hvor du skal lagre sine filer - de kan bare bruke standard miljøvariabelen på Windows av% brukerprofil%. Hvis malware nettopp opprettet en ny toppkatalog på root filsystemet, for eksempel C: \\ malwarehere, ville det være veldig tydelig og ringe oppmerksomhet til seg selv. Men en katalog som heter " Adobe " i brukerens profil katalog med legitime utseende filnavn hjelper skjule malware i vanlig skue.
Oppdager malware gjemmer seg i vanlig skue krever sjekker alle filer på et filsystem og undersøker et system for uvanlig tilgang til et lagringssystem slik som slakk plass eller ADS på NTFS filsystemer. Sørg for å holde et øye for nye partisjoner blir opprettet på et lagringssystem - kan dette også være et tegn på malware prøver å gjemme seg i vanlig skue
.