如今,在人們的安全意識日趨加強的情況下,黑客們繼續開發新的侵入方式。以下介紹黑客入侵的三種方式,以及人們進行反擊的方法。
黑客們使用一些基本的技術將其惡意軟件在防病毒(AV)軟件的掃描和防御中隱藏起來。以下將介紹黑客所采取更加先進的混淆方法,并展示人們可用于檢測惡意軟件規避的新策略和技術。
(1)反-反匯編和調試器(保護器)
惡意軟件的編寫者了解惡意軟件研究人員的工作原理以及他們用來尋找威脅的工具。例如,研究人員和程序員通常使用反匯編器和調試器來確定某些代碼的作用。目前有許多可以檢測反匯編器和調試器的工具和技術,包括內置的Windows功能。這些技術通常是為了幫助打擊盜版而創建的,他們也會使用這些工具來幫助破解受保護的軟件。然而不幸的是,惡意軟件的編寫者可以使用這些技術來查看它們是否在惡意軟件分析師的計算機上運行。如果惡意軟件檢測到這些工具,他們可以停止運行或改變自己的行為,使分析師的工作更加難以實施。
(2)Rootkit
在最高級別中,rootkits是一種工具或技術的組合,允許惡意軟件深入系統,并隱藏在對方的操作系統中。計算機處理器具有各種級別的特權(ring0- ring 3),攻擊者可以利用這些級別的權限來欺騙以更高級的運行的程序。例如,Windows和Linux等操作系統具有用戶空間和內核空間。在最高級別,只需要知道內核空間(ring0)具有比用戶空間(ring3)更高的權限。如果有一個程序需要列出目錄中的文件,那么可以調用一個用戶空間函數去實施,但也可以調用一個內核函數去實施。
如果一個惡意程序可以獲得內核權限,它實際上可以“欺騙”運行在用戶空間中的程序。因此,如果你有一個程序使用用戶空間函數調用來掃描文件系統,那么內核rootkit能夠在解析文件時欺騙這個程序。當用戶空間函數掃描到惡意文件時,rootkit可以欺騙說“這些不是所要查找的文件”,更具體地說,只是這些文件繞過檢查,而不是將其作為結果返回給用戶空間程序。更糟糕的是,虛擬化為rootkit增加了新層次的保護,因為虛擬機具有比內核權限更高的權限。
總之,惡意軟件有時可以使用rootkit功能來隱藏起來,通過從操作系統本身隱藏文件,網絡連接或其他東西等措施和手段,避開本地反病毒軟件(AV)的掃描,也就是說,大多數反病毒軟件(AV)現在都運行著自己的內核模式驅動程序和保護措施,以識別這些常見的rootkit的把戲。
(3)代碼,進程和DLL注入
進程或動態鏈接庫(DLL)注入代表程序可以用于在另一進程的場景下運行代碼的各種技術。惡意軟件的編寫者經常利用這些技術來獲取惡意軟件代碼,以便在必要的Windows應用程序中運行。例如,他們可能會注入explorer.exe,svchost.exe,notepad.exe或其他合法的Windows可執行文件。通過選擇Windows需要的進程,惡意軟件可能會使反病毒軟件檢測和查殺變得更加困難。惡意軟件還可以使用已知網絡功能掛接進程,以幫助屏蔽任何惡意流量。隨著時間的推移,微軟公司已經修復了許多被利用的進程或代碼注入技術,但研究人員和攻擊者不斷地開發新技術,如最近發現的AtomBombing。
惡意軟件有一些可以逃避反病毒軟件的技術。例如包括綁定(附加到合法程序)和計時攻擊(通過休睡以避免自動分析),但還有更多的方法。
那么反惡意軟件如何檢測或關閉這些漏洞?不幸的是,沒有簡單的答案,這種技術競賽仍將持續下去。然而,人們的反病毒武器庫中有一件很好的武器——行為惡意軟件檢測。
許多惡意軟件規避的措施是到改變惡其代碼,以避免基于簽名的檢測和靜態分析,或者實施在事后看起來顯然是惡意的行為。雖然惡意軟件可能會讓自己改頭換面,但并不能改變它的作用,因為它要實現感染計算機的目標,創建后門或加密文件。因此,許多先進的檢測解決方案創建了一種基于其行為識別惡意軟件的系統。
一般來說,這些解決方案可以創建一個“沙盒”,就像受害者的計算機一樣,具有所有正常的附帶軟件。當這個系統收到新的可疑的文件時,就會在這些沙盒環境中執行它們,以查看它們的作用。通過監控數百種已知的惡意軟件行為(包括已知的規避技術),這些解決方案可以主動地準確判斷可執行文件是否是惡意的。行為分析(將會由機器學習進一步驅動)可能是防御惡意軟件的未來。
也就是說,犯罪分子知道沙箱的作用,采取了一些最新的專門針對沙箱的規避措施。它們包括沙箱指紋測試系統(使用從CPU定時檢查到已知注冊表項的許多技術),延遲或定時執行,甚至檢測人類交互行為(檢查是否有人最近移動鼠標,以查看電腦是由人員操作還是自動化操作的)。如果惡意軟件可以使用這些技術檢測到沙盒,則就運行惡意行為以避免分析。
此外,一些惡意軟件的賣家已經創建了可以檢測一些沙箱的保護器。然而,一些先進的檢測解決方案也考慮到這一點。而不是僅僅使用現成的虛擬化環境,一些解決方案可能會使用完整的系統代碼來仿真和創建沙盒環境,在這些環境中,他們可以看到惡意程序發送到物理CPU或內存的每個指令。這種真實的可見性允許采用更高級的惡意軟件解決方案來檢測并查殺惡意軟件更復雜的規避技術。
惡意軟件與安全廠商的技術競賽是永無止境的,而人們加強防御的第一步之一就是了解黑客的最新措施和手段。人們需要了解網絡犯罪分子使用的一些技術,才能更好地清除惡意軟件,而行為分析已經成為現代安全技術的關鍵組成部分。
京公網安備 11010502049343號