Spør eksperten

SearchSecurity ekspert Nick Lewis står klar til å svare på spørsmål om bedriften sikkerhetstrusler. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)

Hvis noen ber deg om å plukke et kort ut av en pakke og deretter finner kortet ditt, som regnes som magi. Som med all magi skjønt, opphører slikt triks å virke så magisk når publikum innser kortet var opp magikerens arm hele tiden. Dette gjelder i programmering i tillegg; når du er klar over et konsept kalt det magiske tallet - der programmerere og til bruker statiske tallene direkte i kildekoden, noe som gjør koden mer forutsigbar og utsatt for angrep - du forstår hva du skal se etter i fremtiden
<. p> I dette tilfellet, " magisk " malware beskrevet av Seculert (faktisk en oppdatert variant av malware som har blitt kalt Tilon, Asetus og Win32.Enchanim av andre leverandører) kommuniserer med sin kommando-og-kontroll (C &C) infrastruktur via en tilpasset protokoll, som er fra origi av navnet. Det er kjent, etablert C &C kommunikasjonsprotokoller som er rimelig sterk og kan brukes til å redusere utviklingstiden, så bruk en tilpasset protokoll er et unikt og potensielt høy risiko bestrebelser på den delen av malware forfattere. En av de klassiske sikkerhetssvikt ved programmerere er å tenke noen algoritme de oppfinne for kryptografi kommer til å være den sterkeste noensinne, men ved hjelp av veletablerte og åpne kryptografialgoritmene vil nesten alltid være en bedre idé med mindre programmerer er en kryptografi ekspert.

Når det gjelder potensielle bedrifts forsvar, dekoding magien malware kommunikasjons kunne kreve reverse-engineering malware og protokollen, men reverse engineering er ikke nødvendig for gjenkjenning. Seculert har gitt indikasjoner på kompromiss, inkludert en liste over kjente IP-adresser som brukes av malware. Disse adressene kan endre seg raskt, men hvis nettverkstrafikk strømmer til en av IP-adresser, som kan være grunn nok til å etterforske et endepunkt for andre indikatorer på kompromiss eller malware. Anmeldelser