Palo Alto Wildfire製品を読みました。そこには次のように書かれています:
WildFire: 実行可能ファイルを仮想環境で実行し、その動作を観察することで、実行可能ファイル内の悪意のある動作を特定する機能を提供します。
このマルウェアの動作をプログラムで分析する方法がわかりませんでした。
[更新] 私の混乱は、仮想環境に配置して実行することにより、ファイアウォールがライブトラフィックを分析する方法です! 一部の人がpdfの脆弱性を悪用しているかどうかを教えてください。ファイアウォールはどのようにプログラムでそれを分析できますか?
この種の製品を理解するには、まずマルウェアやその他の同様のソフトウェアの動作を認識する必要があります。通常、それらは別のものであると主張し、実行時に同様のアプリケーションの標準的な動作と一致しないタスクを実行し始めます。
最新のファイアウォール製品には、ダウンロードした実行可能ファイルによって実行されるアクティビティを追跡するコードがあります。
たとえば、ファイアウォールが、メディア プレーヤーであると主張するシステム上の実行可能ファイルをコピーするアプリケーションのセッションを検出したとします。彼らは完全な L7 を検出しようとします。つまり、どのアプリケーションが使用され、どのファイルがコピーされたかを特定しようとします。次に、受信したファイルをテスト マシンで実行します。
ファイアウォールは、仮想マシンの異常な動作も監視します。受信したプレーヤーが大量のファイルを自分でコピーしようとしたり、ディスクなどから他の情報を読み取ったり、マシンのファイル システムへの書き込みを開始したり、ソケットを開いてどこかにデータを送り返したりします。これは、そのタイプの標準プログラムによって実行されることは期待されていません。このレベルの製品には、受信したアプリケーション タイプのリストに対して有効なアクションのタイプを定義する、汎用プログラム フレームワークがあります。そのリストを超える行動を行う場合、疑わしいと見なされます。
これらの詳細は、侵入検知 (IDS/IPS) の分野にあります。
ここで重要なことは、単にリアルタイム トラフィックを分析することではありません。また、セッションの完了時に、ダウンロードされたプログラムによって実行されるアクティビティを監視します。
最後に、識別されたアプリケーションが悪意のあるものであるとフラグが付けられると、手動メカニズムと自動メカニズムを使用して、その種のトラフィックを識別できるようになります。これは、署名、接続パターン、ペイロードの長さ、およびその他の要因が配置される場所です。Snort は、そのようなルールを定義するツールの 1 つの例であり、他にも多くのツールがあります。
悪意のあるソフトウェアのように見えるこのメディア プレーヤーが、実際には 90% のケースでパターン y を持っているなどの基準を確立すると、その特定のセッションのトラフィックをすぐにブロックし始めます。
同社はおそらくその方法を教えてくれませんが、単純な推測では、ファイアウォールを使用して最初にファイルを仮想マシンに送信し、それらをテストしてからエンドユーザーに送信する方法があると思われます. そのため、ファイアウォール自体はプログラムで何も分析していない可能性が高いです。
アップデート