四种恶意软件常用的逃避技术

恶意软件逃避技术总是在不断演变,上个月的RSA大会上安全公司Lastline的联合创始人讲述了逃避技术发展的图景。这篇名为“逃避型恶意软件的揭露和解构”的报告,进进一步验证了一个观点:“杀毒软件没死,只是跟不上时代”。

报告指出,在2014年,只有一小部分恶意软件显示出了逃避的特性,但到了现在,相当大的一部分恶意软件会利用500种逃避技术进行任意组合,以避免被检测和分析。

Lastline指出,单个的恶意软件样本通常只具有10种逃避行为。不过研究表明,其中的四种是最常见的:环境意识、自动化迷惑工具、基于时序的逃避、混淆内部数据。

环境意识

环境意识让恶意软件样本能够检测它本身试图感染的系统的运行环境。这种逃避行为使得恶意软件能够检测到虚拟机和实体机之间的差异,以及操作系统的构件。举例而言,根据Lastline今年早些时候发布的一份研究报告,Carbanak恶意软件中大约五分之一(17%)的样本在执行前试图检测虚拟沙盒环境。

自动化迷惑工具

它使得恶意软件避免被基于特征检测的技术发现,比如杀毒软件。银行业恶意软件Dyre(Dyreza)是这方面很合适的例子。根据Talos集团两位安全研究人员的报告,Dyre的老版本中硬编码了在和幕后服务器通信时自身使用的URL。不过,为了越过恶意软件黑名单,Dyre的编写者开始每天修改幕后服务器的域名。为了适应不断变化的域名,Dyre的新版本中部署了域名生成算法(Domain Generation Algorithm,DGA),这种算法会在任何给定的时刻计算出幕后服务器的域名位置。各机构以前可以封锁与恶意软件有关的流量,但这种修改给封锁行动制造了麻烦。

基于时序的逃避

这是第三种最普遍的逃避技术。通过这种方法,恶意软件可以在特定时间,或用户采取特定行为时启动。其具体使用有如下几种情景:在最初感染后弹出一个窗口,等待用户点击;仅在系统重启后启动;仅在特定的日期前后启动。恶意软件Balck POS是如今市面上最流行的POS恶意软件种类,它的一些样本,特别是新的变种具备某种程度的基于时序的逃避技术。它会查看被感染机器的系统时间,并和其本身硬编码的时间进行比对。该功能可以使Black POS只在特定的时间段运行,而在其它时间休眠。

混淆内部数据

这种逃避技术最常见。使用这种技术的恶意软件可能会采取一系列方式,让代码规避分析系统的检测。ROM是Backoff POS恶意软件的新变种,它深谙此道。比如,ROM会将API名称替换为Hash过的数值,使用一个Hash表来逃过解析过程的某几个特定步骤,并使用443端口和幕后服务器进行通信,这会有效地加密网络流量。这三种修改使得系统很难有效地识别出ROM的恶意性。

需要特别注意的是,Lastline分析的恶意软件往往会将这四种行为混合使用。具体来讲,Carbanak软件中95%的样本都会通过代码注入和将.exe文件伪装成系统文件来隐藏自身的网络活动,混淆内部数据。与此同时,Backoff的加密行为会通过自动化工具妨碍检测;Dyre会分析其运行环境,以确定接下来做什么,如果它是从Windows目录下执行的话,其可能行为包括作为”googleupdate”服务进行安装。

显然,通过使用逃避技术,今天的恶意软件正变得更加复杂。但对于信息安全社区而言还有希望。上个秋天,波士顿东北大学的一位教授在为IBM安全情报中心撰文时表示,安全研究者们正开始针对逃避行为使用特征分析系统,以检测恶意软件。

除了将逃避技术作为恶意软件的信号之外,安全人员也可以对抗逃避行为。这位教授在2013年的RSA大会上演讲时提到,人们需要理解并对抗逃避型恶意软件。恶意软件经常会寻找触发局(Triggers),安全人员可以将它们随机化来检测恶意软件的环境分析行为。安全人员也可以通过为代码执行设置自动侧写来防止基于时序的逃避行为。

类似和更多的解决方案告诉我们不要在与逃避技术的斗争中放弃。恶意软件可能会越来越成熟,因为它们增加了反检测措施,但每天,安全社区都会发现新的方法,使用与恶意软件相同的逃避策略来对抗它们,以其人之道还其人之身。

作者:Venvoo

来源:51CTO

时间: 2024-09-29 18:10:23

四种恶意软件常用的逃避技术的相关文章

恶意软件常用的感染技术

恶意软件常用的感染技术.通过"横向运动",恶意软件可以进一步扩大其战果:从原始受感染设备传播到同一网络内的其他设备. 最近,勒索软件已经开始使用这种传播方式:包括CryptoWall [1].CryptoFortess [2].DMA-Locker [3]和CryptoLuck [4]在内的许多著名的勒索软件家族,不仅对受害者机器上的文件进行加密,而且对已经映射和未映射的文件共享进行了"横向运动", 对这些共享中的文件进行加密,从而造成更大的危害.当然,对于许多针对

恶意软件每天至少30万个变种 杀毒软件捉襟见肘 来看4种恶意软件反查杀技术

杀毒(AV)和反恶意软件产品是最古老.最成熟的网络攻击防护,但似乎每天都有新的恶意软件样本能够绕过传统的杀毒软件的恶意软件查杀方案.在 WannaCry 出现当日,即便是顶级的杀毒引擎,大多数也都错过了第一批样本,但在随后数小时.数天.数周内都逐渐更新了特征库.这就是是基于特征的检测解决方案的延迟性和被动性的最好示例. 基于特征的杀毒软件还会错过知名威胁.业内每天都会发现30万至100万个新的 恶意软件 变种.然而,罪犯分子并没有制造出数百万个新的蠕虫.木马或病毒.即便没有几十万个恶意软件族,至

浅析四种常见的网络存储技术

目前高端服务器使用的专业网络存储技术大概分为四种,有DAS.NAS.SAN.iscsl,它们可以使用RAID阵列提供高效的安全存储空间. 一.直接附加存储(DAS) 直接附加存储是指将存储设备通过SCSI接口直接连接到一台服务器上使用.DAS购置成本低,配置简单,使用过程和使用本机硬盘并无太大差别,对于服务器的要求仅仅是一个外接的SCSI口,因此对于小型企业很有吸引力.但是DAS也存在诸多问题:(1)服务器本身容易成为系统瓶颈:(2)服务器发生故障,数据不可访问:(3)对于存在多个服务器的系统来

4种恶意软件反查杀高级技术 反病毒软件和APT解决方案都在为此头疼

在8月末,安全加报道了 恶意软件每天至少30万个变种,这些恶意软件的作者通常使用4种恶意软件反查杀技术 ,对抗各种检测扫描,今天我们接续来说更高级的 混淆技术 以及可用于检测回避式 恶意软件 的新方法和技术. 对抗反汇编和调试工具(防护程序) 恶意软件作者对恶意软件研究员的工作了如指掌且了解他们采用哪些工具定位威胁.例如,研究员和程序员经常采用反汇编程序和调试工具检测代码行为.多种工具和技术均可检测反汇编程序和调试工具,如Windows内置功能.很多此类技术旨在对攻击者进行防御,因为攻击者可能会

PHOTOSHOP中常用的四种抠图方法

最近不断有人问怎样换照片背景的问题,实际上是关于抠图的问题,把你需要的内容从照片中抠出来了,换背景就轻而易举了.现介绍四种最常用的抠图和换背景的方法,供参考: 一.如果照片的主体与背景反差较大,边沿较清楚,如下图所示,用"抽出"工具抠图最简单. 操作方法如下: 1.打开PHOTOSHOP,将该图片打开,如下图: 2.注意右下角,图层下边写的是"背景"二字,背景图片是不能处理的,用鼠标双击该"背景"图标,就弹出"新图层"窗口,显

不重启不当机!Linux内核热补丁的四种技术

不重启不当机!Linux内核热补丁的四种技术 供图: Shutterstock 有多种技术在竞争成为实现Linux内核热补丁的最优方案. 没人喜欢重启机器,尤其是涉及到一个内核问题的最新补丁程序. 为达到不重启的目的,目前有3个项目在朝这方面努力,将为大家提供内核升级时打热补丁的机制,这样就可以做到完全不重启机器. Ksplice项目 首先要介绍的项目是Ksplice,它是热补丁技术的创始者,并于2008年建立了与项目同名的公司.Ksplice在替换新内核时,不需要预先修改:只需要一个diff文

四种常用HTML5移动应用框架的比较

中介交易 SEO诊断 淘宝客 云主机 技术大厅 [编者按]本文译者范小虎,对于Mobile Web来说,现在是快速成长时代.由于采用了HTML5和CSS3技术,移动浏览器的性能加强了许多,同时,移动app的框架也扩展了,这意味着为移动设备创建丰富的互动的web体验的可行性又提升了. 本文通过对四种常用的框架进行比较,看看新技术带来了哪些改变. 采用诸如PhoneGap这样的封装软件,您就可以使用native app Store以及单个代码库,就可以分布式部署iPhone,iPad和Android

分享Java常用几种加密算法(四种)_java

对称加密算法是应用较早的加密算法,技术成熟.在对称加密算法中,数据发信方将明文(原始数据)和加密密钥(mi yue)一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去.收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文.在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥. 简单的java加密算法有: BASE 严格地说,属于编码格式,而非加密算法 MD(Mes

Cisco四种类型的防火墙技术汇总

我们知道防火墙有四种类型:集成防火墙功能的路由器,集成防火墙功能的代理服务器,专用的软件防火墙和专用的软硬件结合的防火墙.Cisco的防火墙解决方案中包含了四种类型中的第一种和第四种,即:集成防火墙功能的路由器和专用的软硬件结合的防火墙. 一. 集成在路由器中的防火墙技术 1. 路由器IOS标准设备中的ACL技术 ACL即Access Control Lis t(访问控制列表),简称Access List(访问列表),它是后续所述的IOS Firewall Feature Set的基础,也是Ci