几种恶意软件常用的逃避科技
发布时间:2022-05-11 09:58:07 所属栏目:安全 来源:互联网
导读:恶意软件逃避技术总是在不断演变,上个月的RSA大会上安全公司Lastline的联合创始人讲述了逃避技术发展的图景。这篇名为逃避型恶意软件的揭露和解构的报告,进进一步验证了一个观点:杀毒软件没死,只是跟不上时代。 自动化迷惑工具 它使得恶意软件避免被基于
|
恶意软件逃避技术总是在不断演变,上个月的RSA大会上安全公司Lastline的联合创始人讲述了逃避技术发展的图景。这篇名为“逃避型恶意软件的揭露和解构”的报告,进进一步验证了一个观点:“杀毒软件没死,只是跟不上时代”。 自动化迷惑工具 它使得恶意软件避免被基于特征检测的技术发现,比如杀毒软件。银行业恶意软件Dyre(Dyreza)是这方面很合适的例子。根据Talos集团两位安全研究人员的报告,Dyre的老版本中硬编码了在和幕后服务器通信时自身使用的URL。不过,为了越过恶意软件黑名单,Dyre的编写者开始每天修改幕后服务器的域名。为了适应不断变化的域名,Dyre的新版本中部署了域名生成算法(Domain Generation Algorithm,DGA),这种算法会在任何给定的时刻计算出幕后服务器的域名位置。各机构以前可以封锁与恶意软件有关的流量,但这种修改给封锁行动制造了麻烦。 基于时序的逃避 这是第三种最普遍的逃避技术。通过这种方法,恶意软件可以在特定时间,或用户采取特定行为时启动。其具体使用有如下几种情景:在最初感染后弹出一个窗口,等待用户点击;仅在系统重启后启动;仅在特定的日期前后启动。恶意软件Balck POS是如今市面上***的POS恶意软件种类,它的一些样本,特别是新的变种具备某种程度的基于时序的逃避技术。它会查看被感染机器的系统时间,并和其本身硬编码的时间进行比对。该功能可以使Black POS只在特定的时间段运行,而在其它时间休眠。 混淆内部数据 这种逃避技术最常见。使用这种技术的恶意软件可能会采取一系列方式,让代码规避分析系统的检测。ROM是Backoff POS恶意软件的新变种,它深谙此道。比如,ROM会将API名称替换为Hash过的数值,使用一个Hash表来逃过解析过程的某几个特定步骤,并使用443端口和幕后服务器进行通信,这会有效地加密网络流量。这三种修改使得系统很难有效地识别出ROM的恶意性。 需要特别注意的是,Lastline分析的恶意软件往往会将这四种行为混合使用。具体来讲,Carbanak软件中95%的样本都会通过代码注入和将.exe文件伪装成系统文件来隐藏自身的网络活动,混淆内部数据。与此同时,Backoff的加密行为会通过自动化工具妨碍检测;Dyre会分析其运行环境,以确定接下来做什么,如果它是从Windows目录下执行的话,其可能行为包括作为”googleupdate”服务进行安装。 显然,通过使用逃避技术,今天的恶意软件正变得更加复杂。但对于信息安全社区而言还有希望。上个秋天,波士顿东北大学的一位教授在为IBM安全情报中心撰文时表示,安全研究者们正开始针对逃避行为使用特征分析系统,以检测恶意软件。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号