惡意程式泛指有害的程序,而payload則是主要引發惡意行為的核心程式碼部份。
比方說,先前流行的哭哭綁票勒索信,一開始會先在端點設備的臨時儲存區存放一個執行連接c&c、下載加密程序的可執行檔,接著再開始後續的加密綁票行為,綁完票還會擦擦足跡,盡可能的不讓人知道他玩哪招……
如果發現的夠早,在惡意程序未開始執行加密行為時,在端點設備的臨時儲存區也許可以找到payload和相關的執行程序。
若KPI的計算方式是指工程師處理了幾個被成功勒索的設備,那麼在壞事發生前的攔截作業,大概只能算是做功德的吧
如何早期發現呢?
無法口說,因為那是長期看了大量的網路資料所累積下來的經驗,著些作業都需要受到主管機關充份的授權給資安人員,若沒有充份授權的情況下無法看到全面的資料,在判讀資訊上就會產生偏差、誤判,甚至影響後續的處理作業。
每間公司的狀況和環境不同,無法一概而論一定是怎樣的,在不了解的情況下就論定一定是怎樣怎樣的,著樣的表達方式不科學,也無法讓有資安背景的大大們信服。
曾經有一位資深工程師說,蒐集惡意程序與Payload是不需要本機管理權限的。
但,實際上在查看系統資料夾的時侯,沒有本機管理權限是無法開啟系統相關的資料夾的。
要做到沒有管理者權限的情況下,開啟、查看系統相關的資料夾,需要搞點提權或繞過的手法,對於保存案發現場沒有好處(原始的環境被異動),個人還是偏好盡可能的保存案發現場來釐清問題真因。
- 採用多種社會和技術手段,強行或者秘密安裝,並抵制移除;
- 強行修改使用者軟體設定,如瀏覽器的首頁,軟體自動啟動選項,安全選項;
- 強行彈出廣告,或者其他干擾使用者、佔用系統資源行為;
- 有侵害使用者訊息和財產安全的潛在因素或者隱患;
- 與電腦病毒聯合侵入用戶電腦;
- 停用防毒軟體或其他電腦管理程式來做進一步的破壞;
- 未經使用者許可,秘密收集使用者個人訊息、秘密和隱私;
- 威脅恐嚇或誤導用戶安裝其他的產品。
承載資料的封包、訊息或程式碼部分。
在資訊安全性中,酬載通常是指執行破壞性作業的惡意程式碼部分。
描述惡意程式碼執行的除複製以外的其他活動。
這可以是任意類型的行為,如企圖降低網路服務效能或在螢幕上顯示圖形。