黑帽子預(yù)算已經(jīng)成為企業(yè)常見的防守策略，在這種方法中，企業(yè)試圖提高攻擊者的攻擊成本來減少攻擊。同時(shí)，攻擊者也在試圖讓企業(yè)付出更沉重的代價(jià)來收集攻擊情報(bào)：從域名生成到更微妙的代碼混淆，攻擊者利用各種技術(shù)來提高企業(yè)檢測(cè)攻擊、分析惡意軟件和收集情報(bào)的成本。

在黑帽大會(huì)上，安全服務(wù)公司CrowdStrike的高級(jí)安全研究人員Jason Geffner將會(huì)對(duì)最新的惡意軟件樣本執(zhí)行終端到終端分析，來演示攻擊者為提高惡意軟件分析和識(shí)別難度所采用的一些最新技術(shù)。作為演示的一部分，Geffner計(jì)劃發(fā)布一個(gè)工具來幫助分析師清除攻擊者用來偽裝其內(nèi)部運(yùn)作的垃圾代碼。

Geffner表示，“當(dāng)涉及混淆時(shí)，無論是混淆惡意軟件還是出于DRM目的，這始終將是一場(chǎng)貓捉老鼠的游戲，采用混淆技術(shù)的人知道，給予足夠的時(shí)間，研究人員將能夠繞過混淆技術(shù)。”

Geffner在黑帽大會(huì)上將演示的惡意軟件來自大規(guī)模定制攻擊，可能是由犯罪組織創(chuàng)建，目的是從企業(yè)受害者搶去錢財(cái)和信息。該攻擊使用了域名生成的算法(這種算法讓企業(yè)很難切斷惡意軟件通信)，并且加入了很多垃圾代碼來加大分析工作的難度。

ThreatGRID公司首席技術(shù)官Dean De Beer表示，混淆技術(shù)的總體水平正在提高。對(duì)于一般的混淆技術(shù)，如果一個(gè)程序加密或封裝太多，自動(dòng)化系統(tǒng)會(huì)暗示該軟件可能是惡意軟件。但高明的混淆技術(shù)可以避免拉響警報(bào)，并且讓企業(yè)更加難以對(duì)代碼進(jìn)行逆向工程。攻擊者利用各種技術(shù)來加大分析工作的難度，同時(shí)，提高企業(yè)響應(yīng)攻擊的時(shí)間和成本。

Dean De Beer表示，“攻擊者想方設(shè)法提高企業(yè)檢測(cè)的難度，如果你遇到混淆代碼，它采用的是自定義封裝工具或者加密工具，你需要將其加載到調(diào)制器，設(shè)置斷點(diǎn)，并試圖找出加密代碼。并不是每個(gè)企業(yè)都有人可以進(jìn)行逆向工程，或者有足夠的時(shí)間來進(jìn)行分析。”

CrowdStrike分析的惡意軟件使用了比合法程序多四倍的垃圾代碼，CrowdStrike發(fā)布的工具能夠自動(dòng)地從惡意軟件中清除這些垃圾郵件。雖然攻擊者可能會(huì)迅速修改其工具和惡意軟件來讓自動(dòng)化反混淆變得更加困難，但這會(huì)提高了攻擊者的攻擊成本。

他表示，“如果攻擊者需要不斷改變其攻擊方式，這增加了他們的攻擊難度，至少這能夠在一定程度上緩解攻擊。”然而，如果攻擊者找到更好的辦法來隱藏其代碼以及讓分析工具更困難的話，這可能導(dǎo)致企業(yè)很難獲得關(guān)于攻擊者工具和技術(shù)的情報(bào)。

De Beer表示，“隨著時(shí)間的推移，攻擊者的攻擊將會(huì)被解碼和解密，無論是通過動(dòng)態(tài)還是靜態(tài)的手段，但攻擊者的目標(biāo)是增加企業(yè)分析工作的難度，讓這工作變得很困難，如果你不能擴(kuò)展你的分析，并且，你不能擴(kuò)展你的能力來產(chǎn)生可操作的內(nèi)容和威脅情報(bào)，那么，攻擊者就凌駕于你之上。”