欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

McAfee Labs 威胁报告 2017.06 (上)

来源:本站整理 作者:佚名 时间:2017-07-11 TAG: 我要投稿

概要
恶意软件规避技术和发展趋势
当第一款恶意软件成功将自己的代码部分加密,使内容无法被安全分析师所读取的时候,那些恶意软件开发者早在上世纪 80 年代就开始尝试如何规避安全产品了。如今,有成百上千的反安全、反沙盒、反分析的规避类技术被恶意软件作者所采用。在这的主题中,我们来研究一些最为强大的规避技术、拥有现成规避技术的大型黑市、当代的一些恶意软件家族如何利用规避技术,以及将来如何发展,也包括机器学习类的规避和基于硬件的规避。
不识庐山真面目: 隐写术面对的隐蔽威胁
隐写术已存在几个世纪了。从古希腊人到现代的网络攻击者,人们总在看似平常的对象中隐藏秘密消息。在数字世界里,各种消息常常隐藏在图像、音频轨道、视频剪辑或文本文件之中。攻击者使用隐写术,避开安全系统的检查来传递信息。在这的主题中,我们来探索隐写术的一个有趣领域。我们将涵盖其历史、隐藏信息的普通方法、和它在流行恶意软件中的使用、以及它在网络中的变形。最后,我们提供防止这种形式攻击的策略和程序。
密码盗用程序”Fareit”的增长性危险
人们、企业和政府越来越多地依赖于那些仅靠密码所保护的系统与设备。通常情况下,这些密码比较脆弱或者容易被盗,它们吸引着各种网络罪犯。在这的主题中,我们将仔细分析Fareit,这一最为著名的密码窃取类恶意程序。我们将涉及它从2011年的起源和它是如何演变至今的,包括其典型的感染载体,其体系结构、内部运作机制和盗窃行为、以及它是如何规避检测的。当然也有它在2016年美国总统选举之前的民主党全国委员会中所起到的作用。我们也提供一些规避被Fareit和其他密码盗用工具感染的实用建议。
恶意软件的规避技术和发展趋势— —Thomas Roccia
在过去的十年间,技术进步显著地改变了我们的生活。即使是最简单的日常任务,我们也会依靠计算机去完成。而当它们不再可用、或是不能如我们所预期的执行操作时,我们会倍感压力。而正是因为我们所创建、使用和交换的数据信息是如此的有价值连城、且经常涉及到个人隐私,因此对数据偷窃的各种尝试也正在世界各处以几何式增长着。
恶意软件最初被研发出来是作为一项技术挑战的,但攻击者很快就意识到了其对于数据窃取的价值,网络犯罪行业随即诞生。各个信息安全公司,包括 McAfee在内,很快就组建了信息保卫团队和使用反恶意软件技术的系统。作为回应,恶意软件开发者也开始了尝试如何规避各类安全产品的方法。
最初的规避技术是很简单的,因为其对应的反恶意软件产品也是同样的简单。例如,更改恶意文件中的一个字节就足以绕过安全产品的特征码检测。当然之后也发展出了更为复杂的机制,例如多态性或混淆机制。
如今恶意软件已是非常强了,它们不再是由孤立的群体或是青少年们开发出了为了证明什么,而是由某些政府、犯罪集团和黑客开发出来,用以刺探、窃取或破坏数据。
本主题将详细介绍当今最强大和常见的规避技术,并解释恶意软件作者是如何尝试着使用它们来实现其目标的。
为什么要使用规避技术?
为了执行恶意操作,攻击者需要创建恶意软件。然而,除非他们的尝试未被发现,否则他们无法实现目标。可见,这是一场安全供应商和攻击者之间猫和老鼠般的游戏,其中包括了攻击者对安全技术的操作和实践的监测。
”规避技术”这一术语包括了:恶意软件用来规避自身被检测、分析和解读的所有方法。
我们可以把规避技术分为三大类:
反安全技术:用于规避那些保护环境的工具,如反恶意软件引擎、防火墙、应用控制或其他工具的检测。
反沙箱技术:用于检测到自动化分析,并规避那些恶意软件行为报告的引擎。检测注册表项、文件或与虚拟环境相关的进程,让恶意软件知道自己是否正运行在沙箱之中。
反分析技术:用来检测和迷惑恶意软件分析师。例如,通过识别出监测类工具,如Process Explorer或Wireshark,以及一些进程监控的tricks、packers,或者使用混淆处理来规避逆向工程。
一些先进的恶意软件样本会综合采用两个或三个此类技术。例如,恶意软件可以使用RunPE(在内存中本来的进程中运行另一个进程)的技术来规避反恶意软件、沙箱或分析。一些恶意软件能检测到虚拟环境中的特殊注册表键值,以允许威胁规避自动化的沙盒,以及规避分析员试图在虚拟机中动态运行可疑的恶意二进制文件。
因此,对于安全研究人员来说,了解这些规避技术,以确保安全技术仍然可用是很重要的。
通过下图,我们来看频繁使用的几种类型的规避技术:
恶意软件使用到的规避技术

反沙箱已更为突出,因为更多的企业正在使用沙箱来检测恶意软件。
定义
在网络安全躲避领域中,有许多热门的术语。这里为大家列举一些经常被攻击者所使用到的工具和术语。
Crypters:恶意软件在其执行过程中进行加密和解密。使用这种技术,恶意软件经常不会被反恶意软件引擎或静态分析所检测到。加密器通常可以被定制,并能在地下市场里买到。定制的加密器会使得解密或反编译更具挑战性。Aegis Crypter、Armadillo、和RDG Tejon都是先进加密器的代表。
Packer:类似于加密器。Packer对恶意软件文件进行压缩而非加密。UPX是一种典型的Packer。
Binder:将一个或多个恶意软件文件捆绑成一个。一个可执行的恶意软件可以与JPG 文件绑定,但其扩展名仍为EXE。恶意软件作者通常将恶意软件文件与合法的EXE文件相捆绑。
Pumper:增加文件的大小,以使恶意软件有时能够绕过反恶意软件的引擎。
FUD:使反恶意软件完全无法被探测。恶意软件的卖家用来 描述和推广其工具。一个成功的 FUD程序结合了scantime和runtime因素,从而达到100%不会被检测到的效果。我们当前知道有两种类型的FUD:
- FUD scantime:在恶意软件运行之前,保护其不被反恶意引擎检测到。
- FUD runtime:在恶意软件运行期间,保护其不被反恶意引擎检测到。
Stub:通常包含用于加载(解密或减压)原始的恶意文件到内存所需的例程。

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载