Spør Har du spørsmål om bedriften informasjonssikkerhet trusler for ekspert Nick Lewis? Expert

Send dem via e-post i dag! (Alle spørsmål er anonyme.)

Forskere ved University of California i Santa Barbara presenterte et papir på ACM Computer and Communications Conference som beskriver hvordan Blacksheep kan brukes til å oppdage endringer eller infeksjoner forårsaket av et rootkit. The Blacksheep teknikken gir en systemadministrator for å ta en live minnedump fra en administrert system som bruker en spesiell driver. Denne fylling brukes til å analysere de utfører prosesser på systemet for å identifisere potensielle filer utførende i minnet som kan være skadelig programvare. Blacksheep fungerer på en lignende måte som fil integritet sjekker, men integritet og minne analyse kontroller utføres på tvers av en rekke ulike systemer for å identifisere hvilke, om noen, filer eller minnedumpdataene varierer mellom systemene til potensielt identifisere mistenkelige filer.

en av de største utfordringene med å implementere Blacksheep er mengden av homogenitet som kreves fra endepunktene for å effektivt identifisere endringer i eller malware som ligger i minnet på kompromitterte systemer. I mange bedriftsmiljøer, men det er betydelig homogenitet, så disse teknikkene tilby nye muligheter for hendelsen respons. Blacksheep kan også brukes på servere eller potensielt noen form for homogent konfigurerte systemer for å identifisere malware eller mistenkelige programmer.

Blacksheep teknikken kan brukes i stedet for filen integritet overvåking, som tar dataressurser og tid. Blacksheep kan også tas i bruk for et stort antall systemer for å identifisere infiserte systemer med minimal falske positiver forårsaket av miljøet.