バッチファイル内の悪意のあるスクリプトはアンチウイルスによって検出されますか?
IT部門の共有フォルダーには多くのスクリプトがあります。バッチファイル内の悪意のあるスクリプトはアンチウイルスによって検出されますか?
何が入っているかによります。見つかった場合del /F /S /Q C:\* Windowsバッチファイル内で、一部のAVが疑わしいとフラグを立てる可能性があります。それが既知の悪意のあるスクリプトのバイト単位のコピーである場合、確かに、一部のAVはそれをキャッチする可能性があります。
一般に、新しいまたは「カスタム」のマルウェアスクリプトをキャッチする、悪意のあるスクリプト検出機能を作成するには、バッチスクリプトの変数が多すぎます。 AVが特に多作をキャッチしているように見えますが、ほとんどの場合、新しいものやカスタムのものはありません。
セールスマンがそれがお金が買うことができる最もよい保護であるとあなたに言ったとしても、保護のためにあなたのAVに依存しないでください。これはせいぜい最後の防御線であり、通常、最も基本的な攻撃を防止して時間を節約するためにのみ役立ち、よりターゲットを絞った攻撃に対処するためにリソースを優先させることができます。
すべてのアンチウイルスに当てはまるとは言えませんが、ほとんどの場合、そうです。使用する特定のアンチウイルスに名前を付けると、より適切な回答が得られます。バッチファイルは、リストで最も重要なリスクではないため、強力なウイルス対策とファイアウォールをネットワーク上で常に稼働させておいてください。
スクリプトを含むサーバーのリスクプロファイルに応じて、結果が異なるオプションがいくつかあります。確かに、AV/AMツールは、カスタムコード化されたスクリプトで時々誤検知を検出します。なぜなら、これらすべてに最近PHPヒューリスティックなどが含まれているためです。
- レポートのみ、隔離オフ:陽性が見つかった場合、AV/AMがNOC/SIEMまたは管理者にレポートするようにします。その後、時間が経過するにつれ、SIEMルールなどを誤検知について調整します。
- レポートと検疫:リスクの高いサーバーでは、これが最善のアプローチになる可能性があります。おそらく、このハイリスクソリューション用のテキストベースのスクリプトがある理由に対処します... AV/AMが一致している実際のスクリプトを見つけるのは難しいため(アンチ差分など)、そのため、 AV/AMから報告されないようにスクリプトを変更できます。
- レポートなし、検疫なし:包括的なAV/AMを実行している場合-このサーバーのリスクプロファイルが低い場合、個々のファイルを除外するオプションが常にあります。ただし、それ自体が将来的にターゲットになる可能性があります。あなたがこれをしたなら;各ファイルのハッシュを記録し、ファイルの変更を探す追加のコントロールを配置するなど、リスクを軽減する他の方法を考えてください。
通常、アンチウイルスは、マルウェア開発者とヒューリスティック分析によって作成されたウイルスからのウイルスシグネチャであるウイルス定義を使用します。誤検知の可能性があります。
しかし、あまり脅威を投稿しません。ウイルス対策を更新し、定期的にスキャンすることをお勧めします。