iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 17
0
Security

從接電話解任務開始到進入資安領域邊邊系列 第 17

接電話解任務(17/30): 惡意程式與Payload

  • 分享至 

  • xImage
  •  

惡意程式泛指有害的程序,而payload則是主要引發惡意行為的核心程式碼部份。
比方說,先前流行的哭哭綁票勒索信,一開始會先在端點設備的臨時儲存區存放一個執行連接c&c、下載加密程序的可執行檔,接著再開始後續的加密綁票行為,綁完票還會擦擦足跡,盡可能的不讓人知道他玩哪招……

如果發現的夠早,在惡意程序未開始執行加密行為時,在端點設備的臨時儲存區也許可以找到payload和相關的執行程序。
若KPI的計算方式是指工程師處理了幾個被成功勒索的設備,那麼在壞事發生前的攔截作業,大概只能算是做功德的吧/images/emoticon/emoticon20.gif

如何早期發現呢?
無法口說,因為那是長期看了大量的網路資料所累積下來的經驗,著些作業都需要受到主管機關充份的授權給資安人員,若沒有充份授權的情況下無法看到全面的資料,在判讀資訊上就會產生偏差、誤判,甚至影響後續的處理作業。
每間公司的狀況和環境不同,無法一概而論一定是怎樣的,在不了解的情況下就論定一定是怎樣怎樣的,著樣的表達方式不科學,也無法讓有資安背景的大大們信服。

曾經有一位資深工程師說,蒐集惡意程序與Payload是不需要本機管理權限的。
但,實際上在查看系統資料夾的時侯,沒有本機管理權限是無法開啟系統相關的資料夾的。
要做到沒有管理者權限的情況下,開啟、查看系統相關的資料夾,需要搞點提權或繞過的手法,對於保存案發現場沒有好處(原始的環境被異動),個人還是偏好盡可能的保存案發現場來釐清問題真因。

惡意程式的定義如下:

  1. 採用多種社會和技術手段,強行或者秘密安裝,並抵制移除;
  2. 強行修改使用者軟體設定,如瀏覽器的首頁,軟體自動啟動選項,安全選項;
  3. 強行彈出廣告,或者其他干擾使用者、佔用系統資源行為;
  4. 有侵害使用者訊息和財產安全的潛在因素或者隱患;
  5. 與電腦病毒聯合侵入用戶電腦;
  6. 停用防毒軟體或其他電腦管理程式來做進一步的破壞;
  7. 未經使用者許可,秘密收集使用者個人訊息、秘密和隱私;
  8. 威脅恐嚇或誤導用戶安裝其他的產品。

payload(酬載)的定義如下:

承載資料的封包、訊息或程式碼部分。
在資訊安全性中,酬載通常是指執行破壞性作業的惡意程式碼部分。
描述惡意程式碼執行的除複製以外的其他活動。
這可以是任意類型的行為,如企圖降低網路服務效能或在螢幕上顯示圖形。


上一篇
接電話解任務(16/30): Windows環境變數
下一篇
接電話解任務(18/30): 檔案完整性檢查
系列文
從接電話解任務開始到進入資安領域邊邊32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言