當前位置:主頁>科 研>學術交流>

惡意軟件逃避反病毒引擎的幾個新方法

火眼研究人員發現的幾種惡意軟件樣本使用了一些耐人尋味的技術,能夠更長久地維持對反病毒引擎的隱身狀態。



 

火眼公司剛剛發布了一個新的威脅分析專題,名為“端點上的幽靈”(https://www.fireeye.com/blog/threat-research/2016/04/ghosts_in_the_endpoi.html)。專題第一期中詳細介紹了惡意軟件使用的幾種隱身技術。

研究人員分析了2015年上傳到VirusTotal病毒掃描系統、并在2016年1月前成功保持未檢測狀態的惡意Win32二進制文件和Office、RTF、韓軟Office (Hangul Word ProceSSOr)類型的文檔。這項研究也羅列出了一小部分被反病毒引擎檢測到、卻使用了值得關注的繞過技術的惡意軟件樣本。

  一、偽裝Excel 利用Flash

火眼公司發現的其中一個威脅被認為是由攻擊臺灣的某APT小組使用的。在六個月時間內,它在VirusTotal上成功保持0/53的檢測率。該惡意軟件屬于后門程序,被安全專家稱為GoodTimes。它將自己偽裝成Excel文件并利用 Hacking Team 數據泄露事件中流出的 Flash Player 漏洞進行入侵。

研究人員認為這一威脅并未被反病毒引擎檢測到的原因在于:Flash漏洞嵌入在Excel文件中直接包含的ActiveX對象上,而不是在網頁上托管。

  二、垃圾代碼做掩護

火眼發現的另一個威脅被認為是由黑客小組APT3使用的,它是UPS后門的一個變種。這種惡意軟件也成功隱身了6個月,原因可能是該樣本中包含巨量的垃圾代碼,掩蓋了其惡意軟件的本質,并使得分析工作更難進行。

  三、比特串串聯

火眼在今年1月發現了一種包含VBA宏和Metasploit shellcode加載器后門的惡意軟件,它僅被火眼使用的一個反病毒引擎檢測到。這一威脅是在2015年9月上傳到VirusTotal的,它有可能是中東的APT小組使用的。證據指向了與伊朗有關連的網絡間諜小組Rocket Kitten。

由于VBA宏中使用了比特串串聯(byte concatenation) 技術,該威脅可能繞過了基于簽名的檢測手段。

  四、堆噴射技術隱身

最后一個與APT相關的惡意軟件在六個月時間段內極少被檢測到,它是通過韓軟Office文檔進行傳播的,其目標可能是攻擊韓國。研究人員認為該惡意軟件有可能通過改造后的堆噴射技術做到了隱身,它可以使用一種不同的格式來觸發想要利用的漏洞。

  五、其他

火眼還發現了無法找到其來源的惡意軟件,比如OccultAgent后門、一種用于攻擊巴西的遠程控制軟件,以及一種在一年時間內保持隱身狀態的惡意軟件下載器。

這些威脅源使用的回避技術包括:使用多種腳本語言、多層封包、多階段感染,外加多種通過Office文檔加載惡意內容的技術。

火眼在發布的博文中說:“要想正確地做到檢測,必須從攻擊的整個生命周期上進行監控,而不是僅在可疑文檔或文件進入網絡時才提起注意。這種方式對于檢測并攔截多階段感染策略十分必要。盡管發送啟用宏的表格文檔等行為看上去是無害的,最終,后續攻擊的某一步終將觸發檢測。”

“在攻擊,甚至是多階段攻擊剛剛出現時,制止起來是最容易的。與此同時,也最容易確定是否存在零日漏洞、威脅源是否需要采取文檔宏等用戶交互手段完成攻擊。”

(責任編輯:管理員)

分享到:

更多
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
評價:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奮斗/fd
  • 疑問/yw
  • 暈/y
  • 偷笑/wx
  • 可愛/ka
  • 傲慢/am
  • 驚恐/jk
用戶名: 驗證碼:點擊我更換圖片
資料下載專區
圖文資訊

禁用php的system函數以獲取shell訪問

禁用php的system函數以獲取shell訪問

您可以禁用PHP函數 如果你擁有一個運行著PHP的Web服務器,禁用一些PHP的危險功能可能是...[詳細]

主動風險管理:警報如洪水怎么破?

主動風險管理:警報如洪水怎么破?

現在的威脅形勢變得愈發嚴峻。在工作場所中,用戶不僅使用公司的設備,還會攜帶自己的...[詳細]

我要用1T帶寬DDoS你:這句話竟然拿到了10萬

我要用1T帶寬DDoS你:這句話竟然拿到了10萬美

利用DDoS攻擊威脅企業以勒索金錢,是一件太有利可圖的事情,以致于一個網絡犯罪團伙在...[詳細]

這種密鑰真得破不了:量子密碼學研究新突破

這種密鑰真得破不了:量子密碼學研究新突破

通過同一個光子分流器輸出端口的光子無法繼續分離 劍橋大學和東芝歐洲研究分會的研究...[詳細]

什么是SS7?黑客是如何濫用SS7的?

什么是SS7?黑客是如何濫用SS7的?

一談及到網絡安全問題,用戶們總是覺得很頭疼。除去要記住你的每一個賬號以及對應的密...[詳細]

返回首頁 返回頂部
体彩31选7开奖结果