ホストベースのコードインジェクション防御とアンチウイルス?
最近、 ホストベースのコードインジェクション攻撃:マルウェアで使用される一般的な手法 というタイトルの論文に出くわしました。
「BeeMaster:ホストベースのコードインジェクション攻撃の検出」というタイトルの別の論文は、HBCIAに対する防御メカニズムを示唆しています。
私が理解していることから:
- ウイルスは、コードを被害者のプロセスに挿入して実行します。
- ウイルス対策ソフトウェアは、これらの攻撃から防御することができます。
私の質問は、「ビーマスター」またはHBCIAに対する他の防御メカニズムは、一般的に使用されているウイルス対策ソフトウェアとどのように異なるのでしょうか。
Bee Masterは、ホストベースのコードインジェクション攻撃が発生したかどうかを判断するメカニズムを説明する研究プロジェクトです。これは、動作がよく知られている「ハニーポット」プロセスを実行し、それらのプロセスを監視して、動作パターンが変化するかどうかを確認することによって行われます。
Bee Masterは、攻撃が発生したことを特定する優れた仕事をしているように見えますが( 17ページ を参照)、そのような攻撃に対応するメカニズムはまったくありません。 Bee Masterは、ハニーポットプロセスの1つでの動作の変化による攻撃を間接的に検出するだけなので、攻撃ベクトルが常に(おそらく決して)ない場合があります。ハニーポットプロセスが改ざんされたことを知っているだけです。
注射が検出されたときに適切な応答がどうあるべきかは明らかではありません。
Bee Masterはこのウイルスの間接的な検出にのみ焦点を当てていますが、より一般的なアンチウイルスアプリケーションは、悪意のあるコードの直接的な検出(たとえば、コード検査または疑わしいプロセスアクティビティによる)、誤ったプロセスの終了、およびコンピューターのサニタイズに焦点を当てています。