惡意軟件逃避技術(shù)總是在不斷演變，上個(gè)月的RSA大會(huì)上安全公司Lastline的聯(lián)合創(chuàng)始人講述了逃避技術(shù)發(fā)展的圖景。這篇名為“逃避型惡意軟件的揭露和解構(gòu)”的報(bào)告，進(jìn)進(jìn)一步驗(yàn)證了一個(gè)觀點(diǎn)：“殺毒軟件沒死，只是跟不上時(shí)代”。

報(bào)告指出，在2014年，只有一小部分惡意軟件顯示出了逃避的特性，但到了現(xiàn)在，相當(dāng)大的一部分惡意軟件會(huì)利用500種逃避技術(shù)進(jìn)行任意組合，以避免被檢測(cè)和分析。

Lastline指出，單個(gè)的惡意軟件樣本通常只具有10種逃避行為。不過研究表明，其中的四種是最常見的：環(huán)境意識(shí)、自動(dòng)化迷惑工具、基于時(shí)序的逃避、混淆內(nèi)部數(shù)據(jù)。

環(huán)境意識(shí)

環(huán)境意識(shí)讓惡意軟件樣本能夠檢測(cè)它本身試圖感染的系統(tǒng)的運(yùn)行環(huán)境。這種逃避行為使得惡意軟件能夠檢測(cè)到虛擬機(jī)和實(shí)體機(jī)之間的差異，以及操作系統(tǒng)的構(gòu)件。舉例而言，根據(jù)Lastline今年早些時(shí)候發(fā)布的一份研究報(bào)告，Carbanak惡意軟件中大約五分之一(17%)的樣本在執(zhí)行前試圖檢測(cè)虛擬沙盒環(huán)境。

自動(dòng)化迷惑工具

它使得惡意軟件避免被基于特征檢測(cè)的技術(shù)發(fā)現(xiàn)，比如殺毒軟件。銀行業(yè)惡意軟件Dyre(Dyreza)是這方面很合適的例子。根據(jù)Talos集團(tuán)兩位安全研究人員的報(bào)告，Dyre的老版本中硬編碼了在和幕后服務(wù)器通信時(shí)自身使用的URL。不過，為了越過惡意軟件黑名單，Dyre的編寫者開始每天修改幕后服務(wù)器的域名。為了適應(yīng)不斷變化的域名，Dyre的新版本中部署了域名生成算法(Domain Generation Algorithm，DGA)，這種算法會(huì)在任何給定的時(shí)刻計(jì)算出幕后服務(wù)器的域名位置。各機(jī)構(gòu)以前可以封鎖與惡意軟件有關(guān)的流量，但這種修改給封鎖行動(dòng)制造了麻煩。

基于時(shí)序的逃避

這是第三種最普遍的逃避技術(shù)。通過這種方法，惡意軟件可以在特定時(shí)間，或用戶采取特定行為時(shí)啟動(dòng)。其具體使用有如下幾種情景：在最初感染后彈出一個(gè)窗口，等待用戶點(diǎn)擊;僅在系統(tǒng)重啟后啟動(dòng);僅在特定的日期前后啟動(dòng)。惡意軟件Balck POS是如今市面上***的POS惡意軟件種類，它的一些樣本，特別是新的變種具備某種程度的基于時(shí)序的逃避技術(shù)。它會(huì)查看被感染機(jī)器的系統(tǒng)時(shí)間，并和其本身硬編碼的時(shí)間進(jìn)行比對(duì)。該功能可以使Black POS只在特定的時(shí)間段運(yùn)行，而在其它時(shí)間休眠。

混淆內(nèi)部數(shù)據(jù)

這種逃避技術(shù)最常見。使用這種技術(shù)的惡意軟件可能會(huì)采取一系列方式，讓代碼規(guī)避分析系統(tǒng)的檢測(cè)。ROM是Backoff POS惡意軟件的新變種，它深諳此道。比如，ROM會(huì)將API名稱替換為Hash過的數(shù)值，使用一個(gè)Hash表來逃過解析過程的某幾個(gè)特定步驟，并使用443端口和幕后服務(wù)器進(jìn)行通信，這會(huì)有效地加密網(wǎng)絡(luò)流量。這三種修改使得系統(tǒng)很難有效地識(shí)別出ROM的惡意性。

需要特別注意的是，Lastline分析的惡意軟件往往會(huì)將這四種行為混合使用。具體來講，Carbanak軟件中95%的樣本都會(huì)通過代碼注入和將.exe文件偽裝成系統(tǒng)文件來隱藏自身的網(wǎng)絡(luò)活動(dòng)，混淆內(nèi)部數(shù)據(jù)。與此同時(shí)，Backoff的加密行為會(huì)通過自動(dòng)化工具妨礙檢測(cè);Dyre會(huì)分析其運(yùn)行環(huán)境，以確定接下來做什么，如果它是從Windows目錄下執(zhí)行的話，其可能行為包括作為”googleupdate”服務(wù)進(jìn)行安裝。

顯然，通過使用逃避技術(shù)，今天的惡意軟件正變得更加復(fù)雜。但對(duì)于信息安全社區(qū)而言還有希望。上個(gè)秋天，波士頓東北大學(xué)的一位教授在為IBM安全情報(bào)中心撰文時(shí)表示，安全研究者們正開始針對(duì)逃避行為使用特征分析系統(tǒng)，以檢測(cè)惡意軟件。

除了將逃避技術(shù)作為惡意軟件的信號(hào)之外，安全人員也可以對(duì)抗逃避行為。這位教授在2013年的RSA大會(huì)上演講時(shí)提到，人們需要理解并對(duì)抗逃避型惡意軟件。惡意軟件經(jīng)常會(huì)尋找觸發(fā)局(Triggers)，安全人員可以將它們隨機(jī)化來檢測(cè)惡意軟件的環(huán)境分析行為。安全人員也可以通過為代碼執(zhí)行設(shè)置自動(dòng)側(cè)寫來防止基于時(shí)序的逃避行為。

類似和更多的解決方案告訴我們不要在與逃避技術(shù)的斗爭(zhēng)中放棄。惡意軟件可能會(huì)越來越成熟，因?yàn)樗鼈冊(cè)黾恿朔礄z測(cè)措施，但每天，安全社區(qū)都會(huì)發(fā)現(xiàn)新的方法，使用與惡意軟件相同的逃避策略來對(duì)抗它們，以其人之道還其人之身。

原文地址：http://www.aqniu.com/security-reports/7629.html