通过 FireEye 发现恶意软件到底在做些什么

  • Jonathan Allen
  • 张孝军

2014 年 10 月 16 日

话题:安全DevOps

传统基于签名的反病毒 / 恶意软件比较适合家庭用户,但对企业却不然。正如在新闻中经常报道的,对特定公司展开有目标地攻击正在变得越来越普遍,为了应对这种威胁,需要有更加先进的威胁检测技术。

乍一看,FireEye与其他高级的防火墙 / 网关产品类似,通过签名,它允许计算机自动下载已知并且没有问题的二进制文件,比如 windows 更新,并且也能够自动阻止已知的恶意软件。但是不幸的是,大部分软件都被归类为“未知”类型,这个时候 FireEye 的优势就体现出来了。

当一个未知的二进制文件从网络下载下来后,FisyEye 将会保存一份副本,随后该副本将会分发到一系列虚拟机中,这些虚拟机使用了各种操作系统,补丁等级,浏览器等等的组合,然后与真实用户使用同样环境参数的虚拟机将会尝试执行下载的代码。这最后的一点是检测木马的关键,并且具有很强的针对性。该软件在执行过程中所做的一切都将会记录下来,包括对外的网络连接,更改注册表,文件读写,数据库访问等等。随后将会评估这个未知软件并给出一个潜在风险评级,评估的结果同时也会发送到中央日志库。

中央日志库记录了所有可疑的网络流量。如果恶意软件已经感染了一台机器,它通常会在连接可疑或者有问题的服务器时暴露自己。根据软件的行为和已知恶意软件的通讯模式,会将这些网络连接自动标记为相应的风险等级。

IT 安全和操作管理员可以通过非结构化的数据挖掘工具Splunk来查看这些日志。FireEye 和 Splunk 进行了集成,这样用户就能够方便地在通用 Splunk 查询与可视化视图和 FireEye 自定义视图之间进行切换了。

查看英文原文: Discover What Malware is Really Doing with FireEye


感谢夏雪对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

安全DevOps