恶意软件规避技术一直在不断发展,在上个月的RSA大会上,安全公司Lastline的联合创始人描述了规避技术的发展前景。这份题为《规避型恶意软件的揭露与解构》的报告进一步验证了一个观点:“杀毒软件并没有死,只是跟不上时代了。”该报告指出,在2014年,只有一小部分恶意软件显示出规避特性,但到目前为止,相当一部分恶意软件利用500种规避技术的任意组合来避免检测和分析。Lastline指出,单个恶意软件样本通常只有10种规避行为。但研究表明,其中四种最常见:上下文感知、自动混淆工具、基于时间的规避和内部数据混淆。环境意识环境意识允许恶意软件样本检测它试图感染的系统的操作环境。这种规避允许恶意软件检测虚拟机和物理机之间的差异,以及操作系统的工件。例如,根据今年早些时候发布的一份Lastline研究报告,大约五分之一(17%)的Carbanak恶意软件样本会在执行前尝试检测虚拟沙箱环境。自动混淆工具,可防止恶意软件被基于签名的检测技术(例如防病毒软件)检测到。银行业恶意软件Dyre(Dyreza)就是一个很好的例子。根据来自TalosGroup的两名安全研究人员的一份报告,旧版本的Dyre已经硬编码了它在与幕后服务器通信时使用的URL。然而,为了绕过恶意软件黑名单,Dyre的作者开始每天修改后台服务器的域名。为了适应不断变化的域名,新版本的Dyre部署了域生成算法(DGA),该算法在任何给定时刻计算幕后服务器的域名位置。机构以前能够阻止与恶意软件相关的流量,但这种变化给阻止操作带来了问题。基于时间的规避这是第三种最常见的规避技术。这样,恶意软件就可以在特定时间或用户执行特定操作时启动。它的具体使用有以下几种场景:初次感染后弹出一个窗口,等待用户点击;它仅在系统重启后启动;它仅在特定日期左右开始。恶意软件BlackPOS是当今市场上最流行的POS恶意软件类型,一些样本,尤其是新变种,具有一定程度的基于时间的规避技术。它查看受感染机器的系统时间并将其与硬编码时间本身进行比较。这个功能可以让BlackPOS只在特定的时间段运行,其他时间休眠。混淆内部数据是最常见的规避技术。使用此技术的恶意软件可能会采用多种方法来逃避分析系统的检测。ROM是BackoffPOS恶意软件的一个新变种,它非常了解这一点。例如,ROM会将API名称替换为哈希值,使用哈希表对解析过程中的某些步骤进行转义,使用443端口与后台服务器通信,将有效加密网络流量。这三个修改使得系统难以有效识别ROM的恶意性。请务必注意,Lastline分析的恶意软件往往会混合使用这四种行为。具体来说,Carbanak软件中95%的样本都会通过代码注入和将.exe文件伪装成系统文件的方式隐藏自己的网络活动,混淆内部数据。同时,Backoff的加密行为会阻碍自动化工具的检测;Dyre将分析其操作环境以确定下一步该做什么,其中可能包括安装为“googleupdate”服务(如果它是从Windows目录执行的)。显然,如今的恶意软件通过使用规避技术变得越来越复杂。但是信息安全社区还是有希望的。去年秋天,波士顿东北大学的一位教授为IBM安全情报中心撰文称,安全研究人员开始使用针对规避行为的签名分析系统来检测恶意软件。除了使用规避技术作为恶意软件的标志外,安全专业人员还可以打击规避行为。这位教授在2013年RSA大会上的一次演讲中提到,人们需要了解和对抗规避型恶意软件。恶意软件通常会寻找触发器,安全人员可以随机化这些触发器来检测恶意软件的环境分析行为。安全人员还可以通过为代码执行设置自动分析来防止基于时间的规避。像这样的解决方案和更多的解决方案告诉我们不要放弃与规避技术的斗争。恶意软件可能会随着反检测措施的增加而变得更加复杂,但安全社区每天都会发现使用与恶意软件相同的规避策略来对抗它们的新方法。原文地址:http://www.aqniu.com/security-reports/7629.html
