Co złośliwe oprogramowanie ukrywa się na serwerze?
Najpierw wyjaśnimy, co Kompresja złośliwego oprogramowania na serwerze. W ten sposób zrozumiemy, jak możesz nas narazić. Zasadniczo można powiedzieć, że oznacza to konwersję czystego kodu na nowy. Cieniowany kod da dokładnie taki sam efekt jak kod oryginalny, ale w ten sposób kod źródłowy nie będzie czytelny gołym okiem. Zwykle używany do kodów wyjścia, bankowości, licencjonowania itp.
To już daje nam wyobrażenie o niebezpieczeństwach blackoutu na serwerze. To, co robi, polega na tym, że użytkownik tak naprawdę nie wie, czy ten kod może być złośliwy i zagrażać nam, czy rzeczywiście jest to coś legalnego. W końcu jest trochę ukryty i tak naprawdę nie możemy odczytać, co to znaczy i jak może na nas wpłynąć.
Odciski palców są niezbędne do tworzenia ekranów mechanizm bezpieczeństwo poprawiono sposób wykrywania tego typu złośliwego oprogramowania. Jednak nie zawsze się to udaje, ponieważ fałszywe alarmy są powszechne. Oczywiście z biegiem czasu programy i metody, których możemy użyć, stają się bardziej odpowiednie i zmniejszają liczbę fałszywych alarmów.
Jak wykryć objęte złośliwym oprogramowaniem na serwerze?
Wyjaśniliśmy Co to jest ukryte złośliwe oprogramowanie? a teraz porozmawiamy o tym, co możemy zrobić, aby zlokalizować go na serwerze. Wiemy już, że bezpieczeństwo jest podstawowym czynnikiem i musimy je zapewnić na wszystkich poziomach.
Jak wspomniano, tradycyjne metody, takie jak antywirus, nie zawsze są skuteczne w wykrywaniu takich problemów. W wielu przypadkach kod źródłowy nie jest wykrywany jako realne zagrożenie, co oznacza mniejszą liczbę wykryć.
Jedną z opcji są techniki indeksowania oparte na plikach. To, co robi, to wykrywanie systemu plików w pomoc funkcji PHP często używanych w złośliwym oprogramowaniu. W ten sposób możemy zidentyfikować listy gumek, które mogą zagrażać bezpieczeństwu.
Jest też opcja funkcja skrótu stworzony jako pomoc. Dzieje się tak, ponieważ znalezienie dokładnych odpowiedników między tym kodem złośliwego oprogramowania a plikami wymaga wielu zasobów. Stworzyło to podobne, ale szybsze rozwiązanie. Korzystając z funkcji skrótu, możemy dostarczyć ciąg lub plik, który utworzy ciąg o stałej długości. Za każdym razem, gdy kod jest taki sam, wygeneruje ten sam skrót z tego kodu. Najpopularniejsze techniki fragmentacji to MD5 i SHAx.
Oczywiście problem polega na tym, że hakerzy odkryli, że przy użyciu tych metod wykrywania backdoory są dość łatwe. Wystarczy zmienić 1 bajt, na przykład dodać spację, a hash będzie zupełnie inny, aby tak nie było nierozpoznawalny przez narzędzia anty-malware ten
Inną alternatywą jest dopasowywanie wzorców. Ta technika polega na tworzeniu ciągów i próbie przypisania ich do pliku. Łatwo jednak natknąć się na fałszywe alarmy.
Aby rozwiązać wszystkie te problemy, Bezpieczeństwo serwera BitNinja Weź udział w grze ten Dużo eksperymentował z tym tematem i opracował nową metodę wykrywania, która nie przypomina żadnego innego rozwiązania. Ta nowa metoda opiera się na strukturze kodu źródłowego. Gdy polegamy na strukturze złośliwego oprogramowania, możemy spodziewać się bardzo niskiego odsetka fałszywych trafień, ponieważ struktura złośliwego oprogramowania może nie być taka sama jak w przypadku legalnego pliku. W przeciwnym razie prawidłowe hasła mogą zostać użyte do złośliwych celów.
Zasadniczo technika BitNinja wykrywa, czy w pliku została użyta metoda zaciemnienia. Następny krok opiera się na zachowaniu operacyjnym piaskownicy. Więcej informacji znajdziesz na BitNinja ten