BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

通过FireEye发现恶意软件到底在做些什么

| 作者 Jonathan Allen 关注 595 他的粉丝 ,译者 张孝军 关注 0 他的粉丝 发布于 2014年10月17日. 估计阅读时间: 2 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

传统基于签名的反病毒/恶意软件比较适合家庭用户,但对企业却不然。正如在新闻中经常报道的,对特定公司展开有目标地攻击正在变得越来越普遍,为了应对这种威胁,需要有更加先进的威胁检测技术。

乍一看,FireEye与其他高级的防火墙/网关产品类似,通过签名,它允许计算机自动下载已知并且没有问题的二进制文件,比如windows更新,并且也能够自动阻止已知的恶意软件。但是不幸的是,大部分软件都被归类为“未知”类型,这个时候FireEye的优势就体现出来了。

当一个未知的二进制文件从网络下载下来后,FisyEye将会保存一份副本,随后该副本将会分发到一系列虚拟机中,这些虚拟机使用了各种操作系统,补丁等级,浏览器等等的组合,然后与真实用户使用同样环境参数的虚拟机将会尝试执行下载的代码。这最后的一点是检测木马的关键,并且具有很强的针对性。该软件在执行过程中所做的一切都将会记录下来,包括对外的网络连接,更改注册表,文件读写,数据库访问等等。随后将会评估这个未知软件并给出一个潜在风险评级,评估的结果同时也会发送到中央日志库。

中央日志库记录了所有可疑的网络流量。如果恶意软件已经感染了一台机器,它通常会在连接可疑或者有问题的服务器时暴露自己。根据软件的行为和已知恶意软件的通讯模式,会将这些网络连接自动标记为相应的风险等级。

IT安全和操作管理员可以通过非结构化的数据挖掘工具Splunk来查看这些日志。FireEye和Splunk进行了集成,这样用户就能够方便地在通用Splunk查询与可视化视图和FireEye自定义视图之间进行切换了。

查看英文原文: Discover What Malware is Really Doing with FireEye


感谢夏雪对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT