近年来,各组织在打击恶意软件威胁方面做了大量工作,但似乎每天都有新的恶意软件样本能够绕过各种保护措施。这无穷无尽的恶意软件从何而来?答案是恶意软件变异。通过变异,攻击者可以通过不断“刷新”恶意软件来逃避安全控制。REvil或DarkSide等组织在其恶意代码中放置了“识别开关”,用于检查设备上运行的语言是俄语还是英语。这种策略使恶意软件具有“可变性”——同一段代码在不同计算机上的行为可能不同,具体取决于操作系统版本、安装的库或语言设置。如果有人试图在三到四台不同的机器上运行相同的恶意软件,他们可能会得到三到四种不同的行为。广泛的恶意软件变异性虽然安全研究人员早就认识到恶意软件的变异性,但很少有研究人员评估过它的普遍性。为了了解更多信息,马里兰大学帕克分校的研究助理ErinAvllazagaj查看了113个国家/地区的540万台真实主机上记录的760万条恶意软件执行痕迹。事实证明,这种随着时间和设备的变化可能会产生令人不安的影响——企业安全人员不能简单地说一段恶意软件是木马,即使它的行为确实很像木马,也许在下一次执行时它将再次表现得像勒索软件。有时,这些更改是无意的,因为恶意软件无法正常运行。我们应该更关注那些有意的改变——当恶意软件被设计为“只在正确的计算机或在正确的环境下执行某些活动”时,不满足这些条件的恶意软件将表现出良性特征。像这样的恶意软件在大多数机器上看起来都是良性的,但很难发现。通常,国家支持的黑客组织利用恶意软件可变性的复杂性来实施攻击。但研究表明,一些大规模分发的恶意软件也使用这些技巧。Avllazagaj的研究可以揭示恶意代码的可变性,以帮助安全社区更好地理解问题。“我们凭经验评估了恶意软件的变化程度、其行为的哪些部分发生了变化,以及可以采取哪些措施来解决这些变化,”Avllazagaj说。防病毒供应商可以很好地解决这个问题。Avllazagaj及其同事研究了几种类型的恶意软件的行为,包括Ramnit,一种影响Windows设备并旨在窃取信息的蠕虫;和DarkCometRAT,它还可以窃取密码并截取屏幕截图。760万个样本,研究人员指出,大多数恶意软件的可变性与文件创建和命名有关。DarkCometRAT在某些执行过程中创建了注册表项,而Ramnit有时会构建许多互斥量,研究人员说(Mutex),这可能是因为它需要继续运行漏洞利用程序直到成功。“对于至少50%的所有恶意软件,在单次执行期间观察到的30%的操作不会出现在另一台设备上。此外,一半的恶意软件样本似乎只有8%的参数在所有执行中都是相同的。”这再次证明,使用沙箱分析恶意软件并不能提供全貌。当安全专家想要查看特定样本是否属于特定恶意软件系列时,仅在沙箱中完成一次是不够的。分析恶意软件安全专家需要使用多台计算机来捕获不同的行为。研究人员表示,分析师应该在首次收到恶意软件样本3周后重新执行它们,以更新他们的行为模型。为什么恶意软件会改变行为?复杂的威胁行为肇事者(例如国家支持的团体)拥有创建自定义工具的资源,这些工具在大多数设备上看起来都是良性的,并且仅在满足特定条件时才会触发。恶意软件开发者这样做,主要是为了实现恶意软件的隐蔽性和持久性。在大多数情况下,攻击性很强的恶意软件会将“隐身”作为一个重要的考虑因素。攻击者会从执行一些小工具开始,因为即使被发现或检测到,更换这些小工具也比完成关键的恶意程序要容易得多。然而,APT组织并不是唯一使用这种策略的组织。研究表明,勒索软件组织也在使用这种策略,其中勒索软件通常被部署为第二阶段的有效载荷。一些勒索软件还会在执行时检查其环境,如果发现勒索软件在测试环境或虚拟机中运行,则拒绝进行任何更改。勒索软件组织还部署了虚拟图像来执行其有效负载以逃避检测。未来,我们很可能会看到更多行为多变的恶意软件影响各行各业,国家支持的团体和网络犯罪分子也在不断磨练技能。为了解决这个问题,反病毒公司正在密切研究这些群体,并采用广泛的技术来分析异常样本以获取详细信息。它通常是通过将反汇编器中的静态分析与一些沙箱环境、虚拟机等相结合来完成的。这种分析不太可能受到恶意软件在不同环境中的不同行为方式的阻碍——逆向工程师可以在不执行它的情况下看到实际程序,所以他们可以通过代码探索所有可能的路径。虽然这种方法很耗时,但它可以帮助回答诸如“恶意软件如何生成文件名或注册表项?”之类的难题。或“它如何生成它连接的URL?”随着勒索软件团伙和国家支持的间谍组织能力不断升级,了解这些问题和广泛的恶意软件行为将变得至关重要。这些知识将使组织更加警惕以确保自身安全。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
