惡意軟件逃避技術(shù)總是在不斷演變,上個月的RSA大會上安全公司Lastline的聯(lián)合創(chuàng)始人講述了逃避技術(shù)發(fā)展的圖景。這篇名為“逃避型惡意軟件的揭露和解構(gòu)”的報告,進(jìn)進(jìn)一步驗(yàn)證了一個觀點(diǎn):“殺毒軟件沒死,只是跟不上時代”。
報告指出,在2014年,只有一小部分惡意軟件顯示出了逃避的特性,但到了現(xiàn)在,相當(dāng)大的一部分惡意軟件會利用500種逃避技術(shù)進(jìn)行任意組合,以避免被檢測和分析。
Lastline指出,單個的惡意軟件樣本通常只具有10種逃避行為。不過研究表明,其中的四種是最常見的:環(huán)境意識、自動化迷惑工具、基于時序的逃避、混淆內(nèi)部數(shù)據(jù)。
環(huán)境意識
環(huán)境意識讓惡意軟件樣本能夠檢測它本身試圖感染的系統(tǒng)的運(yùn)行環(huán)境。這種逃避行為使得惡意軟件能夠檢測到虛擬機(jī)和實(shí)體機(jī)之間的差異,以及操作系統(tǒng)的構(gòu)件。舉例而言,根據(jù)Lastline今年早些時候發(fā)布的一份研究報告,Carbanak惡意軟件中大約五分之一(17%)的樣本在執(zhí)行前試圖檢測虛擬沙盒環(huán)境。
自動化迷惑工具
它使得惡意軟件避免被基于特征檢測的技術(shù)發(fā)現(xiàn),比如殺毒軟件。銀行業(yè)惡意軟件Dyre(Dyreza)是這方面很合適的例子。根據(jù)Talos集團(tuán)兩位安全研究人員的報告,Dyre的老版本中硬編碼了在和幕后服務(wù)器通信時自身使用的URL。不過,為了越過惡意軟件黑名單,Dyre的編寫者開始每天修改幕后服務(wù)器的域名。為了適應(yīng)不斷變化的域名,Dyre的新版本中部署了域名生成算法(Domain Generation Algorithm,DGA),這種算法會在任何給定的時刻計(jì)算出幕后服務(wù)器的域名位置。各機(jī)構(gòu)以前可以封鎖與惡意軟件有關(guān)的流量,但這種修改給封鎖行動制造了麻煩。
基于時序的逃避
這是第三種最普遍的逃避技術(shù)。通過這種方法,惡意軟件可以在特定時間,或用戶采取特定行為時啟動。其具體使用有如下幾種情景:在最初感染后彈出一個窗口,等待用戶點(diǎn)擊;僅在系統(tǒng)重啟后啟動;僅在特定的日期前后啟動。惡意軟件Balck POS是如今市面上最流行的POS惡意軟件種類,它的一些樣本,特別是新的變種具備某種程度的基于時序的逃避技術(shù)。它會查看被感染機(jī)器的系統(tǒng)時間,并和其本身硬編碼的時間進(jìn)行比對。該功能可以使Black POS只在特定的時間段運(yùn)行,而在其它時間休眠。
混淆內(nèi)部數(shù)據(jù)
這種逃避技術(shù)最常見。使用這種技術(shù)的惡意軟件可能會采取一系列方式,讓代碼規(guī)避分析系統(tǒng)的檢測。ROM是Backoff POS惡意軟件的新變種,它深諳此道。比如,ROM會將API名稱替換為Hash過的數(shù)值,使用一個Hash表來逃過解析過程的某幾個特定步驟,并使用443端口和幕后服務(wù)器進(jìn)行通信,這會有效地加密網(wǎng)絡(luò)流量。這三種修改使得系統(tǒng)很難有效地識別出ROM的惡意性。
需要特別注意的是,Lastline分析的惡意軟件往往會將這四種行為混合使用。具體來講,Carbanak軟件中95%的樣本都會通過代碼注入和將.exe文件偽裝成系統(tǒng)文件來隱藏自身的網(wǎng)絡(luò)活動,混淆內(nèi)部數(shù)據(jù)。與此同時,Backoff的加密行為會通過自動化工具妨礙檢測;Dyre會分析其運(yùn)行環(huán)境,以確定接下來做什么,如果它是從Windows目錄下執(zhí)行的話,其可能行為包括作為”googleupdate”服務(wù)進(jìn)行安裝。
顯然,通過使用逃避技術(shù),今天的惡意軟件正變得更加復(fù)雜。但對于信息安全社區(qū)而言還有希望。上個秋天,波士頓東北大學(xué)的一位教授在為IBM安全情報中心撰文時表示,安全研究者們正開始針對逃避行為使用特征分析系統(tǒng),以檢測惡意軟件。
除了將逃避技術(shù)作為惡意軟件的信號之外,安全人員也可以對抗逃避行為。這位教授在2013年的RSA大會上演講時提到,人們需要理解并對抗逃避型惡意軟件。惡意軟件經(jīng)常會尋找觸發(fā)局(Triggers),安全人員可以將它們隨機(jī)化來檢測惡意軟件的環(huán)境分析行為。安全人員也可以通過為代碼執(zhí)行設(shè)置自動側(cè)寫來防止基于時序的逃避行為。
類似和更多的解決方案告訴我們不要在與逃避技術(shù)的斗爭中放棄。惡意軟件可能會越來越成熟,因?yàn)樗鼈冊黾恿朔礄z測措施,但每天,安全社區(qū)都會發(fā)現(xiàn)新的方法,使用與惡意軟件相同的逃避策略來對抗它們,以其人之道還其人之身。
原文地址:http://www.aqniu.com/security-reports/7629.html