意大利薩尼奧大學(xué)(the University of Sannio)的研究團(tuán)隊(duì)Iswatlab,證實(shí)了打造一個(gè)能夠規(guī)避殺軟的惡意程序有多么容易。“編寫”一個(gè)新的惡意軟件,規(guī)避殺軟或其它防護(hù)軟件的檢測,這很難。但是,“制造”一個(gè)能夠躲避反惡意軟件解決方案的惡意軟件,卻很簡單。“編寫”和“制造”的區(qū)別就在于,后者一行代碼都不用編寫,只需要點(diǎn)擊一個(gè)按鈕。
薩尼奧大學(xué)的研究團(tuán)隊(duì)Iswatlab (www.iswatlab.eu),實(shí)現(xiàn)了一個(gè)轉(zhuǎn)換移動(dòng)終端惡意代碼的引擎,能夠修改代碼的外部特征,而不影響惡意程序的行為。他們把這個(gè)工具命名為“惡意軟件清洗機(jī)”(Malware Washing Machine)。該團(tuán)隊(duì)研究的Android系統(tǒng)惡意軟件轉(zhuǎn)換引擎,可以執(zhí)行下列變換操作:
反匯編和重新匯編
重新打包
修改包名稱
重命名標(biāo)識符
數(shù)據(jù)編碼
間接調(diào)用
代碼亂序
花指令插入
復(fù)合變換
Iswatlab團(tuán)隊(duì)使用惡意軟件清洗機(jī)測試了57個(gè)著名的商業(yè)反惡意軟件解決方案。他們用這個(gè)工具修改了5560個(gè)惡意軟件,這些惡意軟件能被要測試的這57個(gè)殺軟檢測出來。在修改之后,大多數(shù)殺軟都無法檢測出大部分惡意軟件。
“基于特征的檢測算法在移動(dòng)終端上是否有效?我們開發(fā)了一個(gè)框架,能夠?qū)ndroid應(yīng)用程序進(jìn)行細(xì)微的變形。接著,我們修改了現(xiàn)實(shí)世界中的惡意軟件(見https://www.sec.cs.tu-bs.de/~danarp/drebin/index.html),然后,將這些程序提交到 www.virustotal.com網(wǎng)站,為了知道轉(zhuǎn)換之前和轉(zhuǎn)換之后的檢測情況,我們在轉(zhuǎn)換之前和轉(zhuǎn)換之后,都會(huì)把每一個(gè)樣本上傳檢測”報(bào)告中這樣說到。
測試結(jié)果顯示,轉(zhuǎn)換之后,部分殺軟仍然能夠識別出某些惡意軟件是同一個(gè)家族,但占了很小的一部分。
在下表中,第一列表示殺軟,第二列表示被該殺軟正確檢測出來的樣本(轉(zhuǎn)換之前)的數(shù)量,第三列表示被正確檢測出來的樣本(轉(zhuǎn)換之后)的數(shù)量。”
結(jié)果顯而易見,殺軟無法識別出被轉(zhuǎn)換之后的惡意軟件(在可以識別出原始惡意軟件的條件下)。
轉(zhuǎn)換引擎的源代碼已經(jīng)公開了,地址為https://github.com/faber03/AndroidMalwareEvaluatingTools
Iswatlab團(tuán)隊(duì)的實(shí)驗(yàn)的詳細(xì)結(jié)果見報(bào)告“利用惡意軟件混淆技術(shù)對抗殺軟檢測”
這個(gè)測試引起了關(guān)于對抗惡意軟件的能力的討論,Iswatlab團(tuán)隊(duì)的專家無需編寫一行代碼,只需要用一些常用的手段,就可以制造一個(gè)新的惡意軟件。
總結(jié),打造一個(gè)能夠躲避安全解決方案檢測的新的惡意軟件,只需要幾分鐘。將舊的惡意軟件放到惡意軟件清洗機(jī)中即可!惡意軟件清洗機(jī)可以在這里獲取。
* 參考來源:securityaffairs,felix編譯,轉(zhuǎn)載請注明來自FreeBuf(FreeBuf.COM)
京公網(wǎng)安備 11010502049343號