隐蔽型恶意软件

Q: 隐蔽型恶意软件 是什么?

通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。 它属于网络安全的 恶意软件 分类。

Q: 如何防御 隐蔽型恶意软件?

针对 隐蔽型恶意软件 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

隐蔽型恶意软件是什么?

隐蔽型恶意软件通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。

隐蔽型恶意软件集合了大量逃逸技术:对系统 API 进行钩子以隐藏文件和进程、拦截完整性检查、检测沙箱和虚拟机、反调试、代码混淆、利用合法系统二进制(LOLBins)、时间戳篡改、操作完成后清除日志等。Rootkit、高级银行木马、APT 植入物以及许多勒索软件 loader 都属于此类。检测依赖具备内核可见性的 EDR、内存取证、网络流量分析、基于 TTP(如 MITRE ATT&CK)的威胁狩猎,以及外发到独立日志系统的防篡改日志。加固措施包括安全启动、强制签名驱动、最小权限,以及通过主动狩猎缩短驻留时间。

● 示例

01
对 Windows API 隐藏自身文件的 TDL/TDSS Rootkit。
02
配置为检测沙箱并解除 EDR 钩子的 Cobalt Strike Beacon。

● 常见问题

隐蔽型恶意软件是什么?

通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。它属于网络安全的恶意软件分类。

隐蔽型恶意软件是什么意思?

通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。

如何防御隐蔽型恶意软件?

针对隐蔽型恶意软件的防御通常结合技术控制与运营实践,详见上方完整定义。

隐蔽型恶意软件还有哪些其他名称?

常见的别称包括: 逃逸型恶意软件, 反取证型恶意软件。

隐蔽型恶意软件

隐蔽型恶意软件是什么?

● 示例

● 常见问题

● 相关术语

● 另见

隐蔽型恶意软件 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

隐蔽型恶意软件是什么?