Nick Lewis(CISSP,GCWN))是一名信息安全分析师。他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划。2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位。在他09年加入目前的组织之前,Nick曾在波士顿儿童医院、哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作。
Detekt工具识别恶意软件有多厉害?是否有其他与此类似的免费工具可以用在企业中?
Nick Lewis:对于反恶意软件供应商而言,检测国家资助的恶意软件或商业监控软件(例如Back Orifice、Dameware或其他远程管理木马程序)非常困难。由于新的国家资助的恶意软件的意图不符合恶意软件预定目标的最佳利益,而是符合国家赞助者的利益,如果反恶意软件供应商添加检测功能来阻止这些国家支持的恶意软件,这可能让反恶意软件供应商被列在该国家的不友好名单中。远程管理木马Back Orifice在当时不太难对付,因为那些合法使用它的人知道如何让该软件运行,因此反恶意软件供应商可以阻止非法Back Orifice使用,而不会像国家资助的攻击者那么难以对付。
免费Detekt工具可以由企业用来发现最新版本的DarkComet、FinFisher、njRAT和Gh0st RAT恶意软件。该工具由Claudio Guarnjeri与Amnesty International、Digitale Gesellschaft、Privacy International和电子前沿基金会共同开发,以帮助人权活动家、记者等可能被国家资助的攻击者瞄准的人,或使用无法阻止国家支持的恶意软件的商业反恶意软件工具的人。然而,重要的是要注意,Detekt不能检测商业工具可以检测到的所有不同恶意软件变体,它只是用来帮助发现商业工具无法识别的恶意软件。
Detekt通过结合使用Yara、Volatility和Winpmem工具来扫描潜在目标系统的内存中监控恶意软件的踪迹来发现恶意软件。然后Detekt收集的日志可以由专家来审查。
企业可以使用类似的方法来发现和分析未知恶意软件。思科AMP或FireEye MIR Endpoint Forensics等端点安全工具可以在企业实现这种类型的分析,但大多数标准反恶意软件工具没有。
作者:Nick Lewis
来源:51CTO