防病毒规避技术轻松逃避防病毒软件检测(一)

日期: 2013-03-26 作者:Joe Granneman翻译:邹铮 来源:TechTarget中国 英文

端点防病毒软件没什么用,目前这个秘密已经公开:最近业界最大的防病毒供应商被发现未能检测和阻止高级持续性攻击。当然,对于真正的信息安全从业者而言,这并不是什么秘密。而对于很多消费者以及一些C级管理人员来说,这个事件表明,如果没有额外的安全技术,防病毒软件几乎无法抵御现在的网络攻击。但这个事件的好处是暴露了攻击者现在用于轻松地规避反恶意软件产品的高级方法。

  简要地回顾一下,在今年1月下旬,纽约时报报道了源自中国的网络攻击,该攻击至少持续了4个月而未被发现。据称,攻击者首先通过鱼叉式钓鱼攻击获取初步网络访问权限,然后使用有效的登录信息进入网络,甚至侵入到几十名员工的计算机中,他们试图找寻涉及中国……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

端点防病毒软件没什么用,目前这个秘密已经公开:最近业界最大的防病毒供应商被发现未能检测和阻止高级持续性攻击。当然,对于真正的信息安全从业者而言,这并不是什么秘密。而对于很多消费者以及一些C级管理人员来说,这个事件表明,如果没有额外的安全技术,防病毒软件几乎无法抵御现在的网络攻击。但这个事件的好处是暴露了攻击者现在用于轻松地规避反恶意软件产品的高级方法。

  简要地回顾一下,在今年1月下旬,纽约时报报道了源自中国的网络攻击,该攻击至少持续了4个月而未被发现。据称,攻击者首先通过鱼叉式钓鱼攻击获取初步网络访问权限,然后使用有效的登录信息进入网络,甚至侵入到几十名员工的计算机中,他们试图找寻涉及中国总理文章的记者的消息来源。

  纽约时报报道,攻击者在其网络上至少安装了45个自定义恶意软件,而系统中安装了赛门铁克反恶意软件产品只检测到其中一个。随后,赛门铁克作出回应,指出额外安全层的重要性,例如基于信誉的技术和基于行为的阻止。赛门铁克声明的最后一行有些抱怨:“单靠防病毒软件是不够的。”

  赛门铁克是对的,单靠防病毒软件并不能保护私有网络免受恶意软件的攻击,无论启发理论多么复杂或者多么高级。任何企业都不能单纯依靠防病毒软件,因为现在攻击者有很多不同的办法来修改可执行文件。在本文中,我们将研究攻击者使用的一些高级技术,以证明企业要检测高级恶意软件攻击是多么困难。但所有安全专业人员还应该继续研究攻击者使用的新方法,并且记住,恶意软件编写者使用的技术不断地在演变。

  模糊处理以规避检测

  攻击者用以规避防病毒检测的技术之一是压缩。应用开发人员使用压缩的最初目的是缩小其程序文件以方便分发,而恶意软件编写者则使用压缩来模糊可执行文件的内容。通过使用压缩技术,恶意软件编写者发现他们可以修改其代码来规避基于签名的防病毒软件。有很多应用可以用于压缩,其中最流行的是针对可执行文件的Ultimate Packer(UPX),这是一个开源应用,可通过Sourceforge下载。

  笔者使用该技术来对付已知的恶意软件样本,用以证明通过压缩技术的模糊处理的有效性。我发现收集多年来遇到的恶意软件样本有助于测试新的防御方法和验证检测策略,我选择了收集样本中两个最臭名昭著的恶意软件,其中一个是Zeus木马的变体,该变体在2012年5月成功规避了防病毒系统的检测。第二个是获得巨大成功的勒索软件的变体,它类似于假的防病毒软件,一直在祸害着世界各地的IT部门。

  目前市场上任何有最新签名的防病毒产品都能够很容易分辨出这两个较旧的恶意软件样本。笔者将这两个恶意软件放到virustotal.com的免费web服务来测试,该网站通过多达46种不同的防病毒引擎来分析可疑文件和网址。结果是46个防病毒引擎中的43个引擎检测到了Zeus,而42个检测到假的防病毒软件。

  随后笔者通过可执行封装机来封装这两个文件,并通过virustotal.com扫描,然后比较两次的结果。

  封装后的Zeus木马能够规避另外12个防病毒检测引擎,这是意料之中的。然而,令人意外的是,几个主流防病毒引擎对该木马的识别不一样,微软的引擎没注意到该压缩文件,而赛门铁克引擎则将其重新分类为“可疑工具”。

  并不只有赛门铁克重新分类该恶意软件类型,下面的列表显示,除了McAfee,大多数知名防病毒引擎也对该恶意软件重新分类。尽管该恶意软件进行了修改,McAfee仍然能够检测出来。下一个测试将验证McAfee是否同样能够检测出另一个封装后的恶意软件样本。

  封装的假冒防病毒勒索软件的测试结果甚至比封装的Zeus木马的结果更差。另外3个防病毒引擎没有检测到该勒索软件,总共有15个防病毒厂商没有检测到。而赛门铁克竟然完全无法检测出封装的勒索软件可执行文件中的任何恶意软件,但赛门铁克肯定不是唯一。

  McAfee和微软在这个测试中表现都不错。然而,这并不意味着这些防病毒引擎比其他方法提供的保护更好。该测试仅使用相同压缩工具封装的两个不同文件,如果使用不同恶意软件样本或压缩工具,测试结果肯定完全不同。这项结果只是表明,攻击者可能使用这种方法绕过防病毒引擎,但攻击者也可以利用很多其他方法来绕过所有引擎。

  相关阅读:《防病毒规避技术轻松逃避防病毒软件检测(二)》

翻译

邹铮
邹铮

相关推荐