惡意軟件設(shè)計(jì)和部署的關(guān)鍵之處，在于將自己偽裝成合法的APP，欺騙用戶用戶下載和運(yùn)行惡意文件，以此感染目標(biāo)設(shè)備和系統(tǒng)。為了更好地進(jìn)行偽裝，惡意軟件制作者在設(shè)計(jì)之初就會(huì)使用各種技巧和方法。

例如將惡意軟件可執(zhí)行文件偽裝成合法應(yīng)用程序，使用有效證書對(duì)其進(jìn)行簽名，或破壞可信賴的站點(diǎn)以將其用作分發(fā)點(diǎn)等。

據(jù)免費(fèi)的可疑文件分析服務(wù)安全平臺(tái) VirusTotal的數(shù)據(jù)，惡意軟件的偽裝技巧比我們想象的要大的多。VirusTotal根據(jù)每天提交的 200 萬(wàn)份文件編制了一份惡意軟件報(bào)告，展示了從 2021年1月到2022年7月的統(tǒng)計(jì)數(shù)據(jù)，敘述了惡意軟件的分布趨勢(shì)，及其常用的偽裝技巧。

一、濫用合法域名

通過合法、流行和排名靠前的網(wǎng)站分發(fā)惡意軟件，威脅參與者可以避開基于IP的阻止列表，享受高可用性，并提供更高級(jí)別的信任。

VirusTotal 檢測(cè)了Alexa 排名前1000個(gè)網(wǎng)站中的多個(gè)域，它們共下載了250萬(wàn)個(gè)可疑文件。其中惡意軟件最多的網(wǎng)站是 Discord，它已成為惡意軟件分發(fā)的溫床，托管服務(wù)和云服務(wù)提供商 Squarespace 和亞馬遜也記錄了大量惡意軟件。具體結(jié)果如下圖所示：

惡意軟件分發(fā)濫用最多的域 (VirusTotal)

二、使用竊取的代碼簽名證書

還有一種偽裝方法是，從公司竊取有效證書對(duì)惡意軟件樣本進(jìn)行簽名，這將大大提高其逃避主機(jī)上的AV檢測(cè)和安全警告的概率。

在2021年1月至2022年4月期間上傳到VirusTotal 的所有惡意樣本中，簽名的樣本超過一百萬(wàn)，其中 87% 使用了有效證書。用于簽署提交給 VirusTotal 的惡意樣本的最常見證書頒發(fā)機(jī)構(gòu)包括 Sectigo、DigiCert、USERTrust 和 Sage South Africa。

惡意軟件作者使用的簽名權(quán)限 (VirusTotal)

三、偽裝成流行軟件

將惡意軟件可執(zhí)行文件偽裝成合法、流行的應(yīng)用程序在 2022 年呈上升趨勢(shì)。

將惡意軟件偽裝成真實(shí)應(yīng)用程序的趨勢(shì) （VirusTotal）

受害者下載這些文件時(shí)認(rèn)為他們正在獲取所需的應(yīng)用程序，但在運(yùn)行安裝程序時(shí)，他們會(huì)用惡意軟件感染他們的系統(tǒng)。被模仿最多的應(yīng)用程序（按圖標(biāo)）是 Skype、Adobe Acrobat、VLC 和 7zip。

使用的應(yīng)用程序圖標(biāo)是惡意軟件的誘餌 （VirusTotal）

我們?cè)谧罱?SEO 中毒活動(dòng)中看到的流行的 Windows 優(yōu)化程序 CCleaner 是黑客的主要選擇之一，并且其分發(fā)量的感染率異常高。

被模仿應(yīng)用的惡意軟件感染率 （VirusTotal）

三、隱藏在合法安裝程序中

還有一種經(jīng)常使用的方法是，將惡意軟件隱藏在合法APP的安裝程序中，并在后臺(tái)運(yùn)行感染過程，真正應(yīng)用程序在前臺(tái)執(zhí)行。通過這種方法，惡意軟件可以避開一些不審查 PR 資源結(jié)構(gòu)和可執(zhí)行文件內(nèi)容的防病毒引擎。

帶有惡意軟件的合法安裝程序 (VirusTotal)

根據(jù) VirusTotal 的統(tǒng)計(jì)數(shù)據(jù)，2022年這種做法似乎也在增加，其中包括使用 Google Chrome、Malwarebytes、Windows Updates、Zoom、Brave、Firefox、ProtonVPN 和 Telegram 作為誘餌。

四、如何保持安全

在下載軟件時(shí)，用戶可以使用操作系統(tǒng)的內(nèi)置應(yīng)用程序商店，或訪問應(yīng)用程序的官方下載頁(yè)面。對(duì)于那些在搜索結(jié)果中可能排名較高的促銷廣告，我們應(yīng)該保持足夠的警惕，因?yàn)樗麄兛雌饋硐袷呛戏ňW(wǎng)站，欺騙性非常高。

下載安裝程序后，用戶還需在執(zhí)行前對(duì)文件執(zhí)行 AV 掃描，以確保它們不是偽裝的惡意軟件。

最后，避免使用 torrent 站點(diǎn)來破解受版權(quán)保護(hù)的軟件或注冊(cè)機(jī)，因?yàn)樗鼈兺ǔ?huì)導(dǎo)致惡意軟件感染。