惡意軟件逃避技術(shù)總是在不斷演變，上個月的RSA大會上安全公司Lastline的聯(lián)合創(chuàng)始人講述了逃避技術(shù)發(fā)展的圖景。這篇名為“逃避型惡意軟件的揭露和解構(gòu)”的報告，進進一步驗證了一個觀點：“殺毒軟件沒死，只是跟不上時代”。

報告指出，在2014年，只有一小部分惡意軟件顯示出了逃避的特性，但到了現(xiàn)在，相當(dāng)大的一部分惡意軟件會利用500種逃避技術(shù)進行任意組合，以避免被檢測和分析。

Lastline指出，單個的惡意軟件樣本通常只具有10種逃避行為。不過研究表明，其中的四種是最常見的：環(huán)境意識、自動化迷惑工具、基于時序的逃避、混淆內(nèi)部數(shù)據(jù)。

環(huán)境意識

環(huán)境意識讓惡意軟件樣本能夠檢測它本身試圖感染的系統(tǒng)的運行環(huán)境。這種逃避行為使得惡意軟件能夠檢測到虛擬機和實體機之間的差異，以及操作系統(tǒng)的構(gòu)件。舉例而言，根據(jù)Lastline今年早些時候發(fā)布的一份研究報告，Carbanak惡意軟件中大約五分之一(17%)的樣本在執(zhí)行前試圖檢測虛擬沙盒環(huán)境。

自動化迷惑工具

它使得惡意軟件避免被基于特征檢測的技術(shù)發(fā)現(xiàn)，比如殺毒軟件。銀行業(yè)惡意軟件Dyre(Dyreza)是這方面很合適的例子。根據(jù)Talos集團兩位安全研究人員的報告，Dyre的老版本中硬編碼了在和幕后服務(wù)器通信時自身使用的URL。不過，為了越過惡意軟件黑名單，Dyre的編寫者開始每天修改幕后服務(wù)器的域名。為了適應(yīng)不斷變化的域名，Dyre的新版本中部署了域名生成算法(Domain Generation Algorithm，DGA)，這種算法會在任何給定的時刻計算出幕后服務(wù)器的域名位置。各機構(gòu)以前可以封鎖與惡意軟件有關(guān)的流量，但這種修改給封鎖行動制造了麻煩。

基于時序的逃避

這是第三種最普遍的逃避技術(shù)。通過這種方法，惡意軟件可以在特定時間，或用戶采取特定行為時啟動。其具體使用有如下幾種情景：在最初感染后彈出一個窗口，等待用戶點擊;僅在系統(tǒng)重啟后啟動;僅在特定的日期前后啟動。惡意軟件Balck POS是如今市面上***的POS惡意軟件種類，它的一些樣本，特別是新的變種具備某種程度的基于時序的逃避技術(shù)。它會查看被感染機器的系統(tǒng)時間，并和其本身硬編碼的時間進行比對。該功能可以使Black POS只在特定的時間段運行，而在其它時間休眠。

混淆內(nèi)部數(shù)據(jù)

這種逃避技術(shù)最常見。使用這種技術(shù)的惡意軟件可能會采取一系列方式，讓代碼規(guī)避分析系統(tǒng)的檢測。ROM是Backoff POS惡意軟件的新變種，它深諳此道。比如，ROM會將API名稱替換為Hash過的數(shù)值，使用一個Hash表來逃過解析過程的某幾個特定步驟，并使用443端口和幕后服務(wù)器進行通信，這會有效地加密網(wǎng)絡(luò)流量。這三種修改使得系統(tǒng)很難有效地識別出ROM的惡意性。

需要特別注意的是，Lastline分析的惡意軟件往往會將這四種行為混合使用。具體來講，Carbanak軟件中95%的樣本都會通過代碼注入和將.exe文件偽裝成系統(tǒng)文件來隱藏自身的網(wǎng)絡(luò)活動，混淆內(nèi)部數(shù)據(jù)。與此同時，Backoff的加密行為會通過自動化工具妨礙檢測;Dyre會分析其運行環(huán)境，以確定接下來做什么，如果它是從Windows目錄下執(zhí)行的話，其可能行為包括作為”googleupdate”服務(wù)進行安裝。

顯然，通過使用逃避技術(shù)，今天的惡意軟件正變得更加復(fù)雜。但對于信息安全社區(qū)而言還有希望。上個秋天，波士頓東北大學(xué)的一位教授在為IBM安全情報中心撰文時表示，安全研究者們正開始針對逃避行為使用特征分析系統(tǒng)，以檢測惡意軟件。

除了將逃避技術(shù)作為惡意軟件的信號之外，安全人員也可以對抗逃避行為。這位教授在2013年的RSA大會上演講時提到，人們需要理解并對抗逃避型惡意軟件。惡意軟件經(jīng)常會尋找觸發(fā)局(Triggers)，安全人員可以將它們隨機化來檢測惡意軟件的環(huán)境分析行為。安全人員也可以通過為代碼執(zhí)行設(shè)置自動側(cè)寫來防止基于時序的逃避行為。

類似和更多的解決方案告訴我們不要在與逃避技術(shù)的斗爭中放棄。惡意軟件可能會越來越成熟，因為它們增加了反檢測措施，但每天，安全社區(qū)都會發(fā)現(xiàn)新的方法，使用與惡意軟件相同的逃避策略來對抗它們，以其人之道還其人之身。

原文地址：http://www.aqniu.com/security-reports/7629.html