近些年,企业组织为了更好地解决恶意软件危害采用了很多工作中,可是,好像每日都是新的恶意软件样版可以绕开各种各样防护措施。这种五花八门的恶意软件从何而来?回答是恶意软件变异。根据变异,攻击者让恶意软件持续“焕然一新”,进而躲避安全管理。
例如 REvil 或 DarkSide 那样的机构会在其恶意程序中置放“鉴别电源开关”,用以查验它所属机器设备上的语言表达是不是为德语或英文。这类对策导致了恶意软件的“变异性”——同一段编码可以在不一样的计算机系统上开展不一样的实际操作,实际不一样在于电脑操作系统版本号、安裝的库或语言设置。假如有些人试着在三到四台不一样的设备上运作同样的恶意软件,很有可能会获得三到四种不一样的操控个人行为。
恶意软件变异性的丰富性
尽管安全性科研工作人员早已意识到恶意软件的变异性,但极少有科研工作人员评定其丰富性。为掌握其他信息,马里兰大学帕克森校区科学研究助手 Erin Avllazagaj 查询了 113 个我国/地域的 540 万部真正服务器中记载的 760 万条恶意软件实行印痕。結果发觉,因为时长和机器设备不一样而发生的这类变异性,很有可能会产生令人深思的危害——企业安全生产工作人员不可以简易地说一个恶意软件是木马病毒,就算它的方式的确很像木马病毒,可能在下一次实行时它又会体现得像勒索病毒一样。
有时候,这种改变是不经意的,由于恶意软件没法正常的运作。大家更应当关心这些有心的转变——当恶意软件被设计为“仅在合理的电子计算机或在恰当状况下实行一些主题活动”时,这些不符合这种情况的恶意软件会体现出良好特点。像这个在大部分设备上看上去是合理的恶意软件,难以被发觉。一般情形下,我国支助的黑客联盟会运用恶意软件变异性的多元性,执行进攻主题活动。但科学研究表明,一些规模性遍布的恶意软件一样应用了这种方法。
Avllazagaj 的分析可以揭露恶意程序的变异性,以协助安全社区能够更好地解释这个问题。Avllazagaj 表明:“大家凭工作经验评定了恶意软件发生了是多少转变、其个人行为的什么一部分发生了转变,及其可以采用什么对策来解决这种转变。对于此事,病毒防护经销商正处在十分有益的部位,可以采用一些行为做好解决。”
Avllazagaj 以及朋友科学研究了几类恶意软件的个人行为,包含 Ramnit ,一种危害 Windows 机器设备的蜘蛛,致力于盗取信息内容;及其 DarkComet RAT ,它还可以盗取登陆密码并提取屏幕截屏。根据剖析 2018 年捕获的 760 万只样版,科学研究工作人员注意到绝大多数恶意软件的变异性与文件创建和取名相关。科学研究工作人员称, DarkComet RAT 在一些实行环节中构建了注册表项,而 Ramnit 有时候会搭建许多互斥锁( Mutex ),这也许由于它必须一直运作系统漏洞直到取得成功才行。
科学研究员工在一篇文章中写到:“针对最少 50% 的恶意软件而言,在一次实行环节中留意到的 30% 的实际操作不可能发生在另一台机器设备上。除此之外,一半的恶意软件样版在全部实行环节中好像只存有 8% 的一同主要参数。”这再一次证实,应用沙盒剖析恶意软件并不可以给予全景图片。当安全性权威专家要想查询特殊样版是不是归属于特殊恶意软件大家族时,仅在一个沙盒中实行一次实际操作还不够。剖析恶意软件的安全性专业人士必须应用几台计算机捕获不一样个人行为。
科学研究工作员表明,剖析工作人员应当在第一次接到恶意软件样版 3 星期过后再次实行他们,以升级其个人行为实体模型。
为何恶意软件会更改个人行为?
繁杂的危害个人行为者,例如我国支助的团队,有充足的网络资源来建立自定专用工具,这种专用工具在大部分机器设备上看上去全是合理的,而且仅有在达到某种标准时才会开启。恶意软件开发人员那样做,主要是为了能完成恶意软件的防御性和持续性。在大部分情形下,攻击能力较强的恶意软件都是会将“隐秘性”做为一个主要考虑要素。攻击者一开始都是会先实行一些小工具,由于就算他们被发觉或探测到,更换这种小工具也需要比更换详细的重要木马程序非常容易得多。
但是, APT 机构并非唯一应用这类方式的团队。科学研究表明,勒索病毒机构也在选用这些对策,通常勒索病毒被布署为第二阶段的有效载荷。有一些勒索病毒还会继续在实行时查验其自然环境,假如发觉勒索病毒在接口测试或vm虚拟机中运作,则拒不履行一切变更。勒索病毒机构还会继续布署虚似印象来实行其有效载荷以躲避检验。
将来,大家也许会见到大量具备可变个人行为的恶意软件在各个领域造成危害,我国支助的组织和互联网不法分子也都是在持续磨炼专业技能。为了更好地解决这样的事情,病毒防护公司已经紧密科学研究这种人群,并选用普遍的技术指标分析这些与众不同的样版,便于掌握其细微关键点。它一般通过将反源程序中的静态数据剖析与一些沙盒游戏自然环境、vm虚拟机等紧密结合来进行。
这类剖析不大可能因恶意软件在不一样自然环境中呈现出的差异而备受阻拦——进行反向工程的工作人员不用实行就可以查询具体程序流程,因而它们可以探寻编码中的任何很有可能途径。尽管这个方式很用时,但它可以协助回应一些难点,例如“恶意软件怎样转化成文件夹名称或注册表项?”或“它怎样转化成所联接的 URL ?”
伴随着勒索病毒犯罪团伙和我国扶持的特工组织协调能力持续更新,掌握那些问题和普遍的恶意软件个人行为将显得尤为重要。这类专业知识将使机构更为警惕,以维护本身安全性。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章