安全掃描工具始終都是惡意軟件的死敵，絕大多數(shù)流行的惡意軟件和病毒都可以被掃描出來，然后將其從系統(tǒng)中剔除。但趨勢科技的研究人員最近發(fā)現(xiàn)了一種不使用文件執(zhí)行的惡意軟件，從而導致掃描工具很難檢測到它的存在。

[[132775]]

這種無文件式的惡意軟件只存在于內(nèi)存中，并被直接寫入目標計算機硬盤的RAM(隨機存儲器)中。如去年8月份發(fā)現(xiàn)的POWELIKS就是這樣一種惡意軟件，它能夠把惡意代碼隱藏在Windows注冊表中。

POWELIKS的高超感染手法被其他惡意軟件作者紛紛效仿，趨勢科技于近日在博客上介紹了一種典型的無文件式惡意軟件“變身僵尸”(Phasebot)。

脫胎于太陽僵尸

“變身僵尸”不僅具備惡意軟件包(rootkit)的特性，更重要的是它還擁有無文件執(zhí)行的能力，它與一個2013年的惡意軟件“太陽僵尸”(Solarbot)擁有相同的功能。此外，“變身僵尸”還具備虛擬機檢測和外部模塊裝載功能。后者可以在受感染機器上添加移除功能。

與“太陽”相比，“變身”十分強調(diào)隱密和逃避機制。比如，在每次與命令控制器(C2)通信時，它都會使用隨機口令加密與C2的通信。而且，它還會檢測受感染設(shè)備上是否安裝了下列程序：

.NET Framework Version 3.5

Windows PowerShell

變身僵尸會查詢注冊表條目以找到特定程序

這兩種程序均為當前版本W(wǎng)indows的默認安裝程序。當檢測到這兩種程序時，變身僵尸就會在注冊表中惡意軟件的位置建立經(jīng)過加密的惡意代碼鍵值：

· HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}鍵值Rc4Encoded32和Rc4Encoded64將存儲加密的32位和64位shell code。之后，它會建立另一個名為JavaScript的鍵值，用來解密和執(zhí)行Rc4Encoded32和Rc4Encoded64。

如果在系統(tǒng)中沒有檢測到這兩種程序，變身僵尸會在用戶啟動項(%User Startup%)的文件夾中留下一份自身的拷貝。然后利用應(yīng)用程序接口(API)完成一個用戶級別的rootkit，以使躲避典型終端用戶的發(fā)現(xiàn)。它利用NtQueryDirectoryFile來隱藏文件，利用NtQueryDirectoryFile來隱藏惡意軟件進程。

在僵尸主的指揮下，變身僵尸能夠執(zhí)行諸如通過表單抓取器盜取信息，DDoS攻擊，自我更新，下載并執(zhí)行文件，以及訪問網(wǎng)址鏈接等常規(guī)動作。

變身僵尸與Windows管理工具

變身僵尸之所以有趣就在于，它使用Windows的內(nèi)置系統(tǒng)管理工具PowerShell來逃避安全軟件的檢測，通過PowerShell來運行它隱藏在注冊表中的組件。Windows 7或更高版本的操作系統(tǒng)默認安裝中都包括PowerShell，另一個程序.NET framework 3.5也是如此。

隨著Windows 7用戶的增加，變身僵尸的感染者越來越多，利用系統(tǒng)的默認管理工具擴大自身，無疑是一種很好的發(fā)展策略。

無文件式惡意軟件的未來

將來會有越來越多的惡意軟件作者采取并適應(yīng)這種無文件的手法，他們將不滿足于僅僅使用Windows注冊表來隱藏惡意軟件，他們還將使用其他復雜高端的技術(shù)實施惡意行為，并無需在受感染的系統(tǒng)中留下文件。

對于一般用戶來說，這種無文件式惡意軟件是一個很大的安全威脅。通常用戶都被建議檢查可疑文件或文件夾，但不會去檢查注冊表，因此給這種惡意程序留下了可趁之機。

由于難于檢測，因此也就難于移除。對于安全廠商來說，它更是個挑戰(zhàn)，尤其是那些主要依靠基于文件檢測方式的廠商，因此他們需要開發(fā)新的檢測方法，比如行為監(jiān)控。

原文地址：http://www.aqniu.com/tools/7425.html