Рассмотрим несколько простых (на первый взгляд) сценариев для обнаружения зловредного действия: получение списка процессов в системе, создание задач и служб, снятие скриншота рабочего стола. Поговорим о сложностях, возникших при выявлении следующего поведения: рекогносцировка в системе, обобщенный process hollowing, запуск кода через DLL hijack, закрепление в системе с использованием подписок на события через WMI. Приведем примеры вредоносного ПО, для обнаружения которого актуальны упомянутые техники и подходы к их обнаружению.
Рассказывает Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО Positive Technologies