Некоторое время назад на моем компьютере появился вирус, который не обнаруживается антивирусами. Тем не менее, я вижу вредоносную активность в журнале событий Windows и в TcpLogView:
Учитывая, что обновления антивирусных баз всегда отстают от создания новых вирусов, какие программные инструменты лучше всего подходят для своевременного обнаружения таких угроз нулевого дня?
Хороший руткит не может быть обнаружен ни одним антивирусным программным обеспечением, запущенным на главном компьютере. Однако большинство руткитов зависят от командного и управляющего сервера. Так как это происходит через Интернет, IP-адреса и имена DNS могут быть заблокированы компьютером между провайдером и вашим компьютером.
Я настроил виртуальную машину, используя компьютер, выделенный для сервера vmware esxi. Интернет входит в эту виртуальную машину перед тем, как войти в мою сеть. У меня также есть брандмауэр pfSense, работающий на другой виртуальной машине. pfSense имеет встроенный snort как инструмент. Snort - признанный в отрасли инструмент обнаружения плохих парней. Может автоматически блокировать IP или DNS-имена.
У поставщиков дополнений есть больше черных и белых списков, которые они автоматически обновляют.
Мой собственный брандмауэр также может обнаруживать и блокировать подозрительные IP-адреса, которые случайным образом связываются со мной, чтобы узнать, открыты ли определенные порты. Это первый этап атаки, называемый разведкой, он не наносит ущерба, но создает базу данных, чтобы знать, кого атаковать и как позже.
Многие производители аудио-видео сейчас предоставляют загрузочные образы CD/DVD, USB или ISO для сканирования окон без запуска окон, поэтому они могут хотя бы надеяться найти руткиты. Я часто использую несколько инструментов, таких как Norton и Malwarebytes, для сканирования моей системы, но в некоторых случаях вам может потребоваться 2 или 3 разных продукта для поиска вируса.
Однако авторы вирусов проверяют свои антивирусные продукты на наличие вирусов, чтобы убедиться, что они не могут их найти.
Многие антивирусные продукты используют сигнатуры вирусов для обнаружения вирусов, но сегодня они не очень полезны, и вам нужен антивирус, который обнаруживает поведение вируса, а не сигнатуру.
