上一篇講完「使唔使裝防毒軟件」,呢篇深入拆解:防毒軟件究竟點樣偵測到威脅?
你可能以為防毒軟件只係「掃毒」逐個檔案 check,有問題就刪。但實際上,現代防毒軟件嘅運作方式複雜好多,而且唔同技術嘅威力同限制都好唔同。
第一代技術:Signature-based Detection 認樣捉賊
最傳統嘅方法叫 signature-based detection,原理好直接。每隻已知 malware 都有獨特嘅 binary pattern(二進制特徵碼),好似人嘅指紋咁。防毒軟件會將你電腦入面嘅檔案,同資料庫入面嘅「通緝犯檔案」對比,match 到就即刻 quarantine(隔離)或刪除。呢個方法對已知威脅嘅偵測率可以去到 95-99%。而且速度快、資源消耗低,因為只係做簡單嘅 pattern matching。好似海關 check 通緝犯相片咁,效率高、準確度高。
致命弱點係咩?全新、從未見過嘅病毒,資料庫根本未收錄。你部防毒軟件就算掃一百次都捉唔到,因為佢「唔識」呢隻病毒。更麻煩嘅係polymorphic malware(多態病毒),會用唔同嘅加密方式包裝自己,令外層 signature 完全唔同,傳統掃描就失效。好似通緝犯次次都整容,你點認?所以,signature-based detection?好,但係唔夠。
第二代技術:Behavioral Analysis 睇行為而唔睇樣
Signature有盲點,進化出behavioral analysis(行為分析)而 sandboxing(沙盒測試)就係執行呢種分析嘅隔離環境。核心理念好簡單:唔理你個樣,睇你做咩。
佢會將可疑檔案放入虛擬環境,就係個sandbox,入面實際執行監控佢做咩嘢。嘗試自我複製?改寫或刪除 system file?修改 registry?連上可疑 IP address?短時間內加密大量檔案?呢啲行為一出現就會被標記為可疑。呢個方法好在就算係全新嘅攻擊,只要行為可疑就會 detect到。唔認樣,唔做睇相佬。不過可能會有誤報問題,某啲正常程式(例如 installer、backup 軟件)都會做類似行為,所以有時要配合其他技術。
道高一尺 魔高一丈,某啲 malware 偵測到自己身處虛擬環境(例如冇真實用戶活動、mouse 冇郁),就會扮乖停手。所以而家嘅 sandbox 會模擬用戶行為,例如郁下隻mouse,令 malware 以為身處真實環境。
第三代技術:Machine Learning 自動學習
Machine learning(機器學習)同 behavioral analysis 有咩分別?Behavioral analysis 都仲係靠人手寫 rules,例如「改 system file 就係可疑」,但佢會自己學習點樣識別惡意行為。
將大量 malware 同正常軟件嘅行為數據 feed 俾演算法,佢會自動學習「惡意行為」嘅 pattern。研究數據顯示大部份演算法,偵測準確率可以去到 99% 以上。而最大優勢係預測未知威脅,只要行為模式係「惡意」,AI 就會 flag,而且隨住時間推移變得更準確、誤報更少。而且,數據分析量之大,係人手做唔到嘅。不過攻擊者已經開始用 adversarial attacks(對抗性攻擊)刻意設計 malware 去呃 AI,令佢以為係正常檔案。
咁,點樣去分防毒軟件用咩方法?正所謂小孩才做選擇,大部分防毒軟件都係全都要。Signature detection 負責快速處理已知威脅,behavioral analysis 負責捉新野,Machine learning 負責持續學習同自動改進。三種技術配合使用,先至做到最高嘅防護效果。
根據測試,頂級防毒軟件嘅 online detection rate 係 97-99%,但 offline detection(離線偵測)會低好多。點解嘅?因為離線就冇即時更新、冇雲端支援同 real-time behavioral monitoring,只能靠 signature 同 static analysis。所以保持網絡連線對防毒軟件嘅效能好重要。
當攻擊者成功入侵你部電腦,會做咩?其中一樣係問”Who am I“
whoami 係 Windows 同 Linux 都有嘅合法指令,作用係顯示當前用戶名稱。正常用戶好少用,你梗係知自己係邊個啦,但對攻擊者嚟講呢個係第一步。佢哋需要知道自己拎到咩權限,先決定下一步點做。係直接偷數據,定係要先做 privilege escalation(提權)。根據MITRE ATT&CK 記錄,有組織會用cmd.exe /C whoami 驗證自己係咪以 SYSTEM 權限運行。亦有攻擊組織會用 whoami /priv 睇有冇特權,再決定下一步。攻擊者仲會配合其他指令使用:cat /etc/passwd 讀取系統用戶資料、uname -a 睇 OS 版本等等。
Behavioral detection 點樣捉到?雖然 whoami 本身係合法指令,但如果非用戶正常登入時間、或者夾埋其他偵察指令一齊用、例如透過 POST request body 傳送(我哋稱為 web shell 攻擊),就會 flag 呢串行為可疑。呢個就係 behavioral analysis 嘅威力,睇埋前文後理、執行時間、配合其他行為先落決定。單一動作可能冇問題,但一連串動作加埋就明顯係攻擊。
Signature-based detection 快同準,但只對已知威脅有效。Behavioral analysis 可以透過行為分析捕捉新攻擊,但要小心誤報。AI 自動學習、準確率更高,但需要更多運算資源,而且要防範 adversarial attacks。現代防毒軟件大部分都係三合一。合法工具如 whoami、PowerShell 本身冇問題,但配合其他行為就會暴露攻擊意圖。
技術再先進,都有個死穴
根據多個研究顯示,超過90%嘅網絡攻擊涉及 social engineering(社交工程)。Social engineering 係咩?即係呃你自己 click、自己 download、自己輸入密碼。
點解人係最大漏洞?點樣一眼睇穿呃人伎倆?下篇會深入拆解攻擊者嘅心理戰術。
Eric C房解密 