深入解說(shuō)回避檢測(cè)的惡意軟件的機(jī)制

深入解說(shuō)回避檢測(cè)的惡意軟件的機(jī)制

多數(shù)惡意軟件的開(kāi)發(fā)者，為編寫復(fù)雜的代碼花費(fèi)了很多的時(shí)間與精力。他們的成功，作為威脅長(zhǎng)期未被檢測(cè)出，能夠規(guī)避于沙盒的解析、反病毒對(duì)策、以及惡意軟件的解析人員。該文章主要介紹了回避檢測(cè)的惡意軟件的機(jī)制。惡意軟件若容易被檢測(cè)到的話，便沒(méi)有了使數(shù)據(jù)盜取影響較大化的時(shí)間。IT安全市場(chǎng)逐漸成熟，現(xiàn)在的安全對(duì)策工具和應(yīng)用程序的性能都非常高。但是，攻擊者了解安全工具的運(yùn)作并持續(xù)監(jiān)視。另外，企業(yè)和組織也不一定做到較佳的安全級(jí)別。惡意軟件對(duì)策工具沒(méi)有及時(shí)更新的情況有很多，也存在因沙盒設(shè)置錯(cuò)誤造成易被檢測(cè)的情況。惡意軟件自身的防御功能惡意軟件為了回避檢測(cè)和解析利用了多種機(jī)制。機(jī)制的技術(shù)大致分為以下三大類別。防病毒工具：為了回避病毒對(duì)策、防火墻、保護(hù)環(huán)境的其他工具的檢測(cè)而被使用。防病毒沙盒：進(jìn)行自動(dòng)解析功能的檢測(cè)，為回避惡意軟件的動(dòng)向報(bào)告引擎而被使用。反病毒分析：檢測(cè)惡意軟件的解析者，為詐騙而被使用。例如，為了回避反向工程，在檢測(cè)Process Explore、Wireshark等監(jiān)視工具的同時(shí)，利用一些過(guò)程監(jiān)視的手法、Packer等。這三類都共同的惡意軟件技術(shù)也有幾個(gè)。使用RunPE等的技術(shù)的話，惡意軟件可以回避病毒對(duì)策軟件、沙盒、以及解析者。沙盒的回避沙盒是迅速檢測(cè)惡意軟件的有效工具，但是不適當(dāng)?shù)貥?gòu)成的話，反而會(huì)被惡意軟件簡(jiǎn)單地檢測(cè)出來(lái)。惡意軟件通常需要實(shí)施以下幾點(diǎn)基本的檢查。MAC地址的檢測(cè)：VMware、Box等虛擬環(huán)境中已知的MAC地址被使用。該地址是經(jīng)常保存至注冊(cè)表的以下地方（HKEYLOCALMACHINESYSTEMCurrentControlSetControlClass-etworkAddress）。惡意軟件可要求registry key 或使用GetAdapterInfo API兩者任選其一的方法檢測(cè)MAC地址。過(guò)程檢測(cè)：惡意軟件可檢測(cè)與沙盒相關(guān)聯(lián)的動(dòng)作過(guò)程的存在。例如，VmwareService.exe等過(guò)程的情況下，使用Create Tapshot API 抓拍動(dòng)作過(guò)程，使API函數(shù)的Process32 First和Process32 Net抓拍的各過(guò)程做成一覽表，便于檢測(cè)。注冊(cè)表的檢測(cè)：惡意軟件可檢測(cè)的系統(tǒng)注冊(cè)表項(xiàng)是在虛擬環(huán)境下制作的。以下的注冊(cè)表雖然內(nèi)容并不完整，但是是惡意軟件可能檢測(cè)的注冊(cè)表項(xiàng)一覽。另外，惡意軟件存在使用以下幾個(gè)高技術(shù)檢測(cè)沙盒的情況。鉤子（Hook）函數(shù)的檢測(cè)：鉤子函數(shù)是改變OS和應(yīng)用程序內(nèi)部函數(shù)行為的基本技術(shù)。沙盒是使用鉤子技術(shù)進(jìn)行樣品舉動(dòng)的變更。例如、在函數(shù)中設(shè)置鉤子，惡意軟件會(huì)試圖刪除被沙盒捕捉的文件。這類函數(shù)被放置于內(nèi)存上（內(nèi)核空間）的特定地方。惡意軟件也存在通過(guò)檢查調(diào)用函數(shù)的地址來(lái)檢測(cè)鉤子的情況。例如，被返還的地址不存在內(nèi)核中，表明現(xiàn)在該函數(shù)被掛鉤。惡意軟件使用硬件的尺寸檢查和特殊命令等其他手法，可檢測(cè)特定的登記。事實(shí)上，這些技巧在機(jī)器上的注冊(cè)是一致化的，在虛擬環(huán)境中需要重新配置。病毒對(duì)策的回避病毒對(duì)策工具的基本功能是署名、掃描、探索。署名可回避樣品哈希值的變更。這是非常簡(jiǎn)單的，只需要變更執(zhí)行文件的1個(gè)字節(jié)便可實(shí)現(xiàn)。掃描是制作一個(gè)大的文件，通過(guò)仿真器造成混亂來(lái)回避。探索分析是較復(fù)雜的，但可通過(guò)使背后的函數(shù)掛鉤來(lái)回避。惡意軟件為了回避病毒對(duì)策工具的其他方法是工具的無(wú)效化或者追加例外情況。多態(tài)病毒代碼的檢測(cè)是特別困難的。

總結(jié)惡意軟件的回避檢測(cè)技術(shù)持續(xù)進(jìn)化著，理解這些技術(shù)，并在信息安全社區(qū)共享經(jīng)驗(yàn)是戰(zhàn)勝惡意軟件較有效的方法。轉(zhuǎn)載自：江蘇國(guó)駿提供網(wǎng)絡(luò)安全方案：網(wǎng)絡(luò)防病毒系統(tǒng)、防火墻UTMVPV入侵防御系統(tǒng)防病毒網(wǎng)關(guān)、網(wǎng)站安全防護(hù)、內(nèi)網(wǎng)安全管理系統(tǒng)、流量整形、負(fù)載均衡、數(shù)據(jù)容災(zāi)備份等