在网络安全的背景下,尽管存在反恶意软件控制,但逃避是执行恶意代码的做法。这种策略不会利用可修复的缺陷。相反,他们利用阻止现实世界中恶意软件检测的因素来实现其完整的理论潜力。
这些逃避因素包括:
- 模式检测:防病毒工具,即使是那些采用最新方法的工具,也可以根据文件或进程与之前看到的恶意模式的相似性来检测恶意软件,同时解决误报。攻击者调整恶意软件以偏离这些模式。
- 端点性能:实时反恶意软件技术必须平衡内省的彻底性以及避免降低端点性能的需求。攻击者制造恶意软件以在由于这种妥协而存在的盲点中操作。
- 运行时差异:彻底检查带外可疑文件的恶意软件分析工具使用与正常端点不同的执行环境。攻击者会寻找此类差异,以便从这些工具中隐藏其恶意代码的真实性质。
- 人类行为:终端用户往往匆忙,经常是多任务,缺乏对安全专业人员所拥有的风险的深刻理解。攻击者使用社会工程和其他策略诱骗受害者进入感染系统,压倒防御措施。
- 强大的功能:当今操作系统和应用程序的功能非常庞大,提供内置机制,即使不使用传统的恶意软件或漏洞,也可以危及端点。攻击者滥用此类功能来绕过安全控制。
- 开放渠道:即使是高度限制性的,孤立的安全措施也需要适应业务交互,这需要访问可能有助于攻击者的数据或应用程序。攻击者使用这些开放渠道来推进其恶意目标。
- 内存可变性:系统管理和安全工具在识别和阻止仅驻留在端点内存中的恶意代码方面很薄弱。攻击者使用无文件技术,通过避开文件系统来破坏端点。
尽管存在现代端点安全工具,但这些现实因素为攻击者提供了许多机会来制作感染端点的恶意软件。恶意软件可能会越来越成熟,因为它们增加了反检测措施,但每天,安全社区都会发现新的方法,使用与恶意软件相同的逃避策略来对抗它们,以其人之道还其人之身。
