隐藏惡意軟體的三大黑客技術

本文講的是 隐藏惡意軟體的三大黑客技術，“道高一尺，魔高一丈”，檢測惡意軟體的新戰術和技術正在興起，但進階黑客也正在使用進階的掩蓋方法避免他們的惡意軟體被發現。

反-反彙編和調試器(保護器)

惡意軟體作者知道惡意軟體研究人員的工作路數，以及他們用以狩獵威脅的工具。比如說，研究人員和程式員通常會用反彙程式設計式和調試器，來找出某段代碼的作用。

有很多工具和技術都可以檢測反彙程式設計式和調試器，包括内置的Windows功能。此類技術的設計目的，大多是輔助對抗盜版——盜版商會用這些工具破解版權保護的軟體。

不幸的是，惡意軟體作者也會用同樣的技術，來探測自身程式是否運作在惡意軟體分析師的電腦上。如果惡意軟體檢測到這些工具，他們就可以停止運作或者改變自身行為，讓分析師的工作難以開展。

Rootkits

在最高層級，rootkit是一系列工具或技術的集合，可讓惡意軟體潛入系統深層，對作業系統不可見。計算機處理器有不同層次的執行權限(ring 0-3)，攻擊者可利用這些權限層次來玩弄運作在高層的程式。

例如，Windows和Linux之類的作業系統，有使用者空間和核心空間之分。在最高層，你隻需要知道核心空間(ring0)比使用者空間(ring3)權限高就行了。如果你有個程式需要列出目錄中的檔案清單，你可以調用使用者空間函數來做這事，但調用核心函數同樣可以。

如果惡意程式獲得核心權限，就可以“欺騙”運作在使用者空間的程式。是以，如果某程式以使用者空間函數調用來掃描檔案系統，核心rootkit就可以在它解析檔案的時候欺騙之。在該使用者空間函數掃描到惡意檔案的時候，rootkit可以騙它說，“這些不是你要找的檔案”，或者更具體講，就是簡單地繞過這些檔案，不将它們作為該使用者空間程式的執行結果加以傳回。更糟的是，虛拟化為rootkit欺騙添加了另一層保護，因為其運作在核心之下的管理程式比核心權限還高。

簡言之，惡意軟體有時候可以用rootkit功能對本地反病毒(AV)軟體隐身——通過對作業系統本身隐藏檔案、網絡連接配接或其他東西。不過，大多數AV如今有自己的核心級驅動和防護措施，來避免常見的rootkit欺騙了。

代碼、程序和DLL注入

程序或動态連結庫(DLL)注入，代表了可用于在另一個程序上下文中執行代碼的一系列技術。惡意軟體作者常利用這些技術，讓自己的惡意代碼在必需的Windows程序中執行。

比如說，他們可以注入到explorer.exe、svchost.exe、notepad.exe或其他合法Windows可執行程式中。通過選擇必備的Windows程序注入，惡意軟體可讓自身難以被AV軟體檢測清除。通過勾住正常網絡程序，惡意軟體還可以隐藏掉其惡意流量。随時間逝去，微軟已經修複了網絡罪犯利用的諸多程序或代碼注入技術，但研究人員和攻擊者不斷尋找出新技術，比如最近發現的AtomBombing記憶體注入技術。

惡意軟體利用來逃避AV檢測的方法還有一些，比如捆綁或附着到合法程式中，以及通過休眠以規避自動化分析的計時攻擊。當然其他例子還有很多。

那麼，反惡意軟體程式是怎麼檢測或挫敗這些規避的呢？不幸的是，沒有簡單的辦法可以解決這個問題，技術軍備競賽仍在進行。不過，我們的AV武器庫中确實有了一個很強大的武器——行為分析惡意軟體檢測。

很多規避技術，要麼修改惡意軟體代碼以避免基于特征碼的檢測和靜态分析，要麼執行一些事後回想起來明顯惡意的動作。但即便可以改頭換面，所作所為還是改變不了的，至少隻要惡意軟體還想達成其感染計算機、建立後門或加密檔案的目的，這些行為就不可少。是以，很多進階檢測解決方案，便建立了基于行為來識别惡意軟體的系統。

一般來說，這些解決方案建立一個表現得像是受害者計算機的“沙箱”，自帶所有正常配套軟體。當該系統收到新/可疑檔案，便在沙箱環境中執行之，檢查它們的行為。通過監視成百上千的已知惡意軟體行為，包括已知規避技術，這些解決方案可以精準主動地報告可執行檔案是否惡意。受到機器學習的進一步驅動，行為分析很可能就是惡意軟體防禦的未來，也是總體防禦的未來。

盡管如此，網絡罪犯也知道沙箱，某些最新的規避技術就是特意針對沙箱的。其中包括采集沙箱系統指紋（包括采用從CPU時序檢查到查驗已知系統資料庫項等一系列技術）、延遲或計時執行、甚至檢測人工互動（即檢查最近是否有人移動過滑鼠，以确認主機是由人操作還是自動化的）。惡意軟體一旦用這些技術檢測到沙箱，就不執行惡意操作以規避分析。

而且，地下惡意軟體賣家，已建立出可以檢測某些沙箱的保護器。不過，一些進階檢測解決方案也考慮到了這一點。它們不僅僅采用現成的虛拟化環境，而是使用全系統代碼仿真，建立出可以看到惡意程式發往實體CPU或記憶體的每一條指令的沙箱環境。這一真正的可見性，讓更進階的惡意軟體解決方案，得以檢測并消除掉惡意軟體更為狡猾的某些沙箱規避技術。

惡意軟體和安全廠商間的軍備競賽不會終結，通往更強大防禦的第一步，就是學習黑客使用的最新騙術。網絡罪犯繞過遺留AV解決方案偷渡惡意軟體的手法不斷創新，而行為分析正是現代安全防禦中不可或缺的關鍵元件。

原文釋出時間為：九月 4, 2017

本文作者：nana

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。