安全掃描工具始終都是惡意軟件的死敵，絕大多數(shù)流行的惡意軟件和病毒都可以被掃描出來(lái)，然后將其從系統(tǒng)中剔除。但趨勢(shì)科技的研究人員最近發(fā)現(xiàn)了一種不使用文件執(zhí)行的惡意軟件，從而導(dǎo)致掃描工具很難檢測(cè)到它的存在。

[[132775]]

這種無(wú)文件式的惡意軟件只存在于內(nèi)存中，并被直接寫(xiě)入目標(biāo)計(jì)算機(jī)硬盤(pán)的RAM(隨機(jī)存儲(chǔ)器)中。如去年8月份發(fā)現(xiàn)的POWELIKS就是這樣一種惡意軟件，它能夠把惡意代碼隱藏在Windows注冊(cè)表中。

POWELIKS的高超感染手法被其他惡意軟件作者紛紛效仿，趨勢(shì)科技于近日在博客上介紹了一種典型的無(wú)文件式惡意軟件“變身僵尸”(Phasebot)。

脫胎于太陽(yáng)僵尸

“變身僵尸”不僅具備惡意軟件包(rootkit)的特性，更重要的是它還擁有無(wú)文件執(zhí)行的能力，它與一個(gè)2013年的惡意軟件“太陽(yáng)僵尸”(Solarbot)擁有相同的功能。此外，“變身僵尸”還具備虛擬機(jī)檢測(cè)和外部模塊裝載功能。后者可以在受感染機(jī)器上添加移除功能。

與“太陽(yáng)”相比，“變身”十分強(qiáng)調(diào)隱密和逃避機(jī)制。比如，在每次與命令控制器(C2)通信時(shí)，它都會(huì)使用隨機(jī)口令加密與C2的通信。而且，它還會(huì)檢測(cè)受感染設(shè)備上是否安裝了下列程序：

.NET Framework Version 3.5

Windows PowerShell

變身僵尸會(huì)查詢注冊(cè)表?xiàng)l目以找到特定程序

這兩種程序均為當(dāng)前版本W(wǎng)indows的默認(rèn)安裝程序。當(dāng)檢測(cè)到這兩種程序時(shí)，變身僵尸就會(huì)在注冊(cè)表中惡意軟件的位置建立經(jīng)過(guò)加密的惡意代碼鍵值：

· HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}鍵值Rc4Encoded32和Rc4Encoded64將存儲(chǔ)加密的32位和64位shell code。之后，它會(huì)建立另一個(gè)名為JavaScript的鍵值，用來(lái)解密和執(zhí)行Rc4Encoded32和Rc4Encoded64。

如果在系統(tǒng)中沒(méi)有檢測(cè)到這兩種程序，變身僵尸會(huì)在用戶啟動(dòng)項(xiàng)(%User Startup%)的文件夾中留下一份自身的拷貝。然后利用應(yīng)用程序接口(API)完成一個(gè)用戶級(jí)別的rootkit，以使躲避典型終端用戶的發(fā)現(xiàn)。它利用NtQueryDirectoryFile來(lái)隱藏文件，利用NtQueryDirectoryFile來(lái)隱藏惡意軟件進(jìn)程。

在僵尸主的指揮下，變身僵尸能夠執(zhí)行諸如通過(guò)表單抓取器盜取信息，DDoS攻擊，自我更新，下載并執(zhí)行文件，以及訪問(wèn)網(wǎng)址鏈接等常規(guī)動(dòng)作。

變身僵尸與Windows管理工具

變身僵尸之所以有趣就在于，它使用Windows的內(nèi)置系統(tǒng)管理工具PowerShell來(lái)逃避安全軟件的檢測(cè)，通過(guò)PowerShell來(lái)運(yùn)行它隱藏在注冊(cè)表中的組件。Windows 7或更高版本的操作系統(tǒng)默認(rèn)安裝中都包括PowerShell，另一個(gè)程序.NET framework 3.5也是如此。

隨著Windows 7用戶的增加，變身僵尸的感染者越來(lái)越多，利用系統(tǒng)的默認(rèn)管理工具擴(kuò)大自身，無(wú)疑是一種很好的發(fā)展策略。

無(wú)文件式惡意軟件的未來(lái)

將來(lái)會(huì)有越來(lái)越多的惡意軟件作者采取并適應(yīng)這種無(wú)文件的手法，他們將不滿足于僅僅使用Windows注冊(cè)表來(lái)隱藏惡意軟件，他們還將使用其他復(fù)雜高端的技術(shù)實(shí)施惡意行為，并無(wú)需在受感染的系統(tǒng)中留下文件。

對(duì)于一般用戶來(lái)說(shuō)，這種無(wú)文件式惡意軟件是一個(gè)很大的安全威脅。通常用戶都被建議檢查可疑文件或文件夾，但不會(huì)去檢查注冊(cè)表，因此給這種惡意程序留下了可趁之機(jī)。

由于難于檢測(cè)，因此也就難于移除。對(duì)于安全廠商來(lái)說(shuō)，它更是個(gè)挑戰(zhàn)，尤其是那些主要依靠基于文件檢測(cè)方式的廠商，因此他們需要開(kāi)發(fā)新的檢測(cè)方法，比如行為監(jiān)控。

原文地址：http://www.aqniu.com/tools/7425.html