但是,无论是在服务器上还是在受攻击的终端上,该恶意软件都会留下其存在的证据。防御者可以依靠端点保护平台(EPP)、端点检测和响应(EDR/XDR)和防病毒(AV)等工具来发现恶意软件部署的迹象。发现这些攻击模式和特征是网络安全技术演变的目的——在威胁造成真正破坏之前检测和隔离威胁。
但随着攻击链现在进入内存,它们在要检测的特征或要分析的行为模式方面提供的东西很少。传统的恶意软件攻击并没有消失。只是更多的威胁在运行时以设备内存为目标,而传统的防御者对此的可见性有限。
内存中攻击可以安装有关联的文件,也可以没有关联的文件,并在最终用户启动和关闭应用程序之间的空间中工作。像Emotet、Jupyter、Cobalt Strike和供应链攻击这样的运行时攻击可以在受害者的环境中移动。