恶意软件设计部署的关键是伪装成合法APP,诱骗用户下载运行恶意文件,感染目标设备和系统。为了更好地伪装,恶意软件的制作者在设计之初就使用了各种花招和方法。示例包括将恶意软件可执行文件伪装成合法应用程序,使用有效证书对其进行签名,或破坏可信赖的站点以将其用作分发点等。根据VirusTotal(一种免费的可疑文件分析服务)安全平台VirusTotal的数据,恶意软件的伪装技巧是比我们想象的要大得多。VirusTotal根据每天提交的200万个文件编制了一份恶意软件报告,显示了从2021年1月到2022年7月的统计数据,描述了恶意软件的分布趋势及其常见的伪装技术。1.滥用合法域名通过合法、热门和排名靠前的网站分发恶意软件,威胁行为者可以避开基于IP的黑名单,享受高可用性并提供更高级别的信任。VirusTotal在Alexa排名前1,000的网站中检测到多个域,这些域总共下载了250万个可疑文件。其中恶意软件最多的网站是Discord,它已成为恶意软件传播的温床,托管和云服务提供商Squarespace和亚马逊也记录了大量恶意软件。具体结果如下图所示:恶意软件分布滥用最多的域(VirusTotal)2.使用窃取的代码签名证书另一种冒充方式是窃取公司的有效证书对恶意软件样本进行签名,这将大大提高其逃避能力主机上AV检测和安全警报的概率。在2021年1月至2022年4月期间上传到VirusTotal的所有恶意样本中,有超过100万个样本被签名,其中87%使用了有效证书。用于签署提交给VirusTotal的恶意样本的最常见证书颁发机构包括Sectigo、DigiCert、USERTrust和SageSouthAfrica。恶意软件作者使用的签名权限(VirusTotal)3.伪装成流行软件将恶意软件可执行文件伪装成合法、流行的应用程序的趋势在2022年呈上升趋势。将恶意软件伪装成真实应用程序的趋势(VirusTotal)受害者下载这些文件时认为他们正在获取应用程序他们想要,但是当他们运行安装程序时,他们会用恶意软件感染他们的系统。最常被模仿的应用程序(按图标)是Skype、AdobeAcrobat、VLC和7zip。所使用的应用程序图标是恶意软件的诱饵(VirusTotal)我们在最近的SEO中毒活动中看到了流行的Windows优化程序CCleaner,它是黑客的首选之一,并且其分发的感染率异常高。仿制应用程序的恶意软件感染率(VirusTotal)3.隐藏在合法安装程序中另一种常用的方法是将恶意软件隐藏在合法应用程序的安装程序中,并在后台运行感染过程,而让真正的应用程序在前台执行。通过这种方式,恶意软件可以逃避一些不审查PR资源结构和可执行内容的反病毒引擎。带有恶意软件的合法安装程序(VirusTotal)根据VirusTotal的统计数据,这种做法在2022年似乎也呈上升趋势,其中包括使用GoogleChrome、Malwarebytes、WindowsUpdates、Zoom、Brave、Firefox、ProtonVPN和Telegram作为诱饵。4.如何保证安全下载软件时,用户可以使用操作系统自带的应用商店,也可以访问应用的官方下载页面。我们应该警惕可能在搜索结果中排名更高的促销广告,因为它们看起来是合法网站并且具有很强的欺骗性。下载安装程序后,用户还需要在执行前对文件进行反病毒扫描,以确保它们不是伪装的恶意软件。最后,避免使用Torrent站点来破解受版权保护的软件或注册机,因为它们通常会导致恶意软件感染。
