Malware ist heutzutage ein sehr aktuelles Problem, das die Sicherheit unserer Geräte und Systeme gefährdet. Es gibt viele Arten von Bedrohungen, die uns auf die eine oder andere Weise betreffen können, und dies bedeutet, dass wir immer die erforderlichen Vorsichtsmaßnahmen treffen müssen. Wir müssen über Sicherheitstools und angemessene Mittel verfügen. In diesem Artikel werden wir erklären Was ist Verschleierungs-Malware? auf einem Server und was wir tun können, um es zu erkennen.
Was ist Verschleierungs-Malware auf einem Server?
Zuerst werden wir erklären, was Malware-Verschleierung ist auf einem Server. Auf diese Weise werden wir verstehen, wie Sie uns gefährden können. Grundsätzlich können wir sagen, dass es bedeutet, einen sauberen Code in einen neuen zu konvertieren. Der Verschleierungscode liefert genau das gleiche Ergebnis wie der Originalcode. Auf diese Weise ist der Quellcode jedoch für das menschliche Auge nicht lesbar. Wird normalerweise für Exit-Codes, Bankgeschäfte, Lizenzen usw. verwendet.
Dies gibt uns bereits eine Vorstellung von der Gefahr der Verschleierung auf einem Server. Was es tut, ist, dass ein Benutzer nicht wirklich weiß, ob dieser Code bösartig sein und uns gefährden kann oder tatsächlich etwas Legitimes ist. Schließlich ist es etwas verborgen, ohne dass wir wirklich lesen können, was es bedeutet und wie es uns beeinflussen kann.
Sicherheit Werkzeuge haben die Art und Weise, wie sie diese Art von Malware erkennen, verfeinert. Es ist jedoch nicht immer effektiv, da es häufig zu Fehlalarmen kommt. Natürlich werden die Programme und Methoden, die wir verwenden können, im Laufe der Zeit zunehmend angemessener und reduzieren die Anzahl der falsch positiven Ergebnisse.
So erkennen Sie Verschleierungs-Malware auf einem Server
Wir haben es erklärt Was ist Verschleierungs-Malware? und jetzt werden wir darüber sprechen, was wir tun können, um es auf einem Server zu erkennen. Wir wissen bereits, dass Sicherheit ein grundlegender Faktor ist und dass wir uns auf allen Ebenen darum kümmern müssen.
Wie wir bereits erwähnt haben, sind die herkömmlichen Methoden wie Antivirenprogramme nicht immer wirksam, um diese Art von Problemen zu finden. Der Quellcode wird in vielen Fällen nicht als echte Bedrohung erkannt, was eine Verringerung der Erkennungen bedeutet.
Eine Option sind auf Dateisignaturen basierende Erkennungstechniken. Was es tut ist das Dateisystem crawlen Verwenden von PHP-Funktionen, die häufig in Malware verwendet werden. Auf diese Weise können wir Listen von Verschleiern erkennen, die die Sicherheit gefährden können.
Es gibt auch die Option der Hash-Funktion , die als Erweiterung erstellt wurde. Es stellte sich heraus, dass das Finden genauer Übereinstimmungen zwischen dem Sammeln von sauberem Malware-Code und Dateien viele Ressourcen erfordert. So wurde eine ähnliche Lösung erstellt, aber schneller. Mit der Hash-Funktion können wir eine Zeichenfolge oder eine Datei angeben, die eine Zeichenfolge mit fester Länge generiert. Jedes Mal, wenn der Code derselbe ist, wird aus diesem Code der gleiche Hash generiert. Die bekanntesten Hashing-Techniken sind MD5 und SHAx.
Aber das Problem ist natürlich, dass Hacker erkannt haben, dass es mit diesen Erkennungsmethoden recht einfach ist, die Hintertüren zu finden. Es reicht aus, 1 Byte zu ändern, zum Beispiel ein Leerzeichen hinzuzufügen, und der Hash wird völlig anders sein, so dass der Anti-Malware-Tools erkenne es nicht.
Eine andere Alternative ist der Mustervergleich. Diese Technik basiert auf dem Erstellen einiger Zeichenfolgen und dem Versuch, sie in der Datei abzugleichen. Es ist jedoch leicht, auf falsch positive Ergebnisse zu stoßen.
Das ist wo BitNinja Server-Sicherheit kommt herein, um all diese Probleme zu lösen. Er experimentierte viel mit diesem Thema und entwickelte eine neue Erkennungsmethode wie keine andere Lösung. Diese neue Methode basiert auf der Struktur des Quellcodes. Wenn wir der Struktur der Malware vertrauen, können wir eine sehr niedrige Falsch-Positiv-Rate erwarten, da die Struktur einer Malware nicht mit der Struktur einer legitimen Datei übereinstimmen kann. Andernfalls könnten gültige Codes für böswillige Zwecke verwendet werden.
Grundsätzlich erkennt die BitNinja-Technik, ob die Verschleierungsmethode in einer Datei verwendet wurde. Der nächste Schritt basiert auf dem Verhalten beim Ausführen des Codes in einer Sandbox. Sie können weitere Informationen zu sehen BitNinja .
