惡意軟件變異:改變行為以實現(xiàn)隱蔽性和持久性
責(zé)編:gltian |2021-12-31 13:54:56
近年來,企業(yè)組織為了應(yīng)對惡意軟件威脅采取了大量工作,但是,似乎每天都有新的惡意軟件樣本能夠繞過各種防護措施。這些層出不窮的惡意軟件從何而來?答案是惡意軟件變異。通過變異,攻擊者讓惡意軟件不斷“煥然一新”,從而逃避安全控制。
例如 REvil 或 DarkSide 這樣的組織會在其惡意代碼中放置“識別開關(guān)”,用于檢查它所在設(shè)備上的語言是否為俄語或英語。這種策略造成了惡意軟件的“變異性”——同一段代碼可以在不同的計算機上進行不同的操作,具體不同取決于操作系統(tǒng)版本、安裝的庫或語言設(shè)置。如果有人嘗試在三到四臺不同的機器上運行相同的惡意軟件,可能會得到三到四種不同的操作行為。
惡意軟件變異性的廣泛性
雖然安全研究人員早就意識到惡意軟件的變異性,但很少有研究人員評估其廣泛性。為了解更多信息,馬里蘭大學(xué)帕克分校研究助理 Erin Avllazagaj 查看了 113 個國家/地區(qū)的 540 萬臺真實主機中記錄的 760 萬條惡意軟件執(zhí)行痕跡。結(jié)果發(fā)現(xiàn),由于時間和設(shè)備不同而產(chǎn)生的這種變異性,可能會帶來令人不安的影響——企業(yè)安全人員不能簡單地說一個惡意軟件是木馬,即便它的行為確實很像木馬,也許在下一次執(zhí)行時它又會表現(xiàn)得像勒索軟件一樣。
有時,這些變化是無意的,因為惡意軟件無法正常運行。我們更應(yīng)該關(guān)注那些有意的變化——當(dāng)惡意軟件被設(shè)計為“僅在正確的計算機或在正確情況下執(zhí)行某些活動”時,那些不滿足這些條件的惡意軟件會表現(xiàn)出良性特征。像這種在大多數(shù)機器上看起來是良性的惡意軟件,很難被發(fā)現(xiàn)。一般情況下,國家資助的黑客組織會利用惡意軟件變異性的復(fù)雜性,實施攻擊活動。但研究顯示,一些大規(guī)模分布的惡意軟件同樣使用了這些技巧。
Avllazagaj 的研究可以揭示惡意代碼的變異性,以幫助安全社區(qū)更好地理解這個問題。Avllazagaj 表示:“我們憑經(jīng)驗評估了惡意軟件發(fā)生了多少變化、其行為的哪些部分發(fā)生了變化,以及可以采取哪些措施來應(yīng)對這些變化。對此,防病毒供應(yīng)商正處于非常有利的位置,可以采取一些行動進行應(yīng)對。”
Avllazagaj 及其同事研究了幾種惡意軟件的行為,包括 Ramnit ,一種影響 Windows 設(shè)備的蠕蟲,旨在竊取信息;以及 DarkComet RAT ,它也可以竊取密碼并截取屏幕截圖。通過分析 2018 年捕獲的 760 萬個樣本,研究人員注意到大部分惡意軟件的變異性與文件創(chuàng)建和命名有關(guān)。研究人員稱, DarkComet RAT 在某些執(zhí)行過程中創(chuàng)建了注冊表項,而 Ramnit 有時會構(gòu)建很多互斥鎖( Mutex ),這可能是因為它需要一直運行漏洞直至成功為止。
研究人員在一篇論文中寫道:“對于至少 50% 的惡意軟件來說,在一次執(zhí)行過程中觀察到的 30% 的操作不會出現(xiàn)在另一臺設(shè)備上。此外,一半的惡意軟件樣本在所有執(zhí)行過程中似乎只存在 8% 的共同參數(shù)。”這再次證明,使用沙箱分析惡意軟件并不能提供全貌。當(dāng)安全專家想要查看特定樣本是否屬于特定惡意軟件家族時,僅在一個沙箱中執(zhí)行一次操作遠遠不夠。分析惡意軟件的安全專家需要使用多臺電腦捕捉不同行為。
研究人員表示,分析人員應(yīng)該在第一次收到惡意軟件樣本 3 周后重新執(zhí)行它們,以更新其行為模型。
為什么惡意軟件會改變行為?
復(fù)雜的威脅行為者,例如國家資助的團體,有足夠的資源來創(chuàng)建自定義工具,這些工具在大多數(shù)設(shè)備上看起來都是良性的,并且只有在滿足某些條件時才會觸發(fā)。惡意軟件開發(fā)者這樣做,主要是為了實現(xiàn)惡意軟件的隱蔽性和持久性。在大多數(shù)情況下,攻擊性很強的惡意軟件都會將“隱蔽性”作為一個重要考量因素。攻擊者一開始都會先執(zhí)行一些小工具,因為即便它們被發(fā)現(xiàn)或檢測到,替換這些小工具也要比替換完整的關(guān)鍵惡意程序容易得多。
不過, APT 組織并不是唯一使用這種策略的團體。研究顯示,勒索軟件組織也在采用這種策略,通常勒索軟件被部署為第二階段的有效載荷。有些勒索軟件還會在執(zhí)行時檢查其環(huán)境,如果發(fā)現(xiàn)勒索軟件在測試環(huán)境或虛擬機中運行,則拒絕執(zhí)行任何更改。勒索軟件組織還會部署虛擬映像來執(zhí)行其有效載荷以逃避檢測。
未來,我們可能會看到更多具有可變行為的惡意軟件在各行各業(yè)產(chǎn)生影響,國家資助的團體和網(wǎng)絡(luò)犯罪分子也都在不斷磨練技能。為了應(yīng)對這種情況,防病毒企業(yè)正在密切研究這些群體,并采用廣泛的技術(shù)分析那些不同尋常的樣本,以便了解其微小細節(jié)。它一般通過將反匯編程序中的靜態(tài)分析與某些沙盒環(huán)境、虛擬機等相結(jié)合來完成。
這種分析不太可能因惡意軟件在不同環(huán)境中表現(xiàn)出的不同而受到阻礙——開展逆向工程的人員無需執(zhí)行即可查看實際程序,因此他們可以探索代碼中的所有可能路徑。雖然這種方法很耗時,但它可以幫助回答一些難題,例如“惡意軟件如何生成文件名或注冊表項?”或“它如何生成所連接的 URL ?”
隨著勒索軟件團伙和國家支持的間諜組織能力不斷升級,了解這些問題和廣泛的惡意軟件行為將變得至關(guān)重要。這種知識將使組織更加警覺,以保護自身安全。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧