研究人(rén)員(yuán)發現(xiàn)的幾種惡意軟件樣本使用了(le)一(yī)些(xiē)耐人(rén)尋味的技術,能(néng)夠更長久地維持對反病毒引擎的隐身(shēn)狀态。
火(huǒ)眼公司剛剛發布了(le)一(yī)個(gè)新(xīn)的威脅分(fēn)析專題,名為(wèi)“端點上(shàng)的幽靈”。
研究人(rén)員(yuán)分(fēn)析了(le)2015年上(shàng)傳到VirusTotal病毒掃描系統、并在2016年1月(yuè)(yuè)前成功保持未檢測狀态的惡意Win32二進制文件和Office、RTF、韓軟Office(HangulWordProceSSOr)類型的文檔。這(zhè)項研究也(yě)羅列出了(le)一(yī)小部分(fēn)被反病毒引擎檢測到、卻使用了(le)值得關(guān)注的繞過技術的惡意軟件樣本。
一(yī)、僞裝Excel利用Flash
火(huǒ)眼公司發現(xiàn)的其中一(yī)個(gè)威脅被認為(wèi)是由攻擊台灣的某APT小組使用的。在六個(gè)月(yuè)(yuè)時(shí)間(jiān)内,它在VirusTotal上(shàng)成功保持0/53的檢測率。該惡意軟件屬于後門程序,被安全專家稱為(wèi)GoodTimes。它将自己僞裝成Excel文件并利用HackingTeam數據洩露事(shì)件中流出的FlashPlayer漏洞進行入侵。
研究人(rén)員(yuán)認為(wèi)這(zhè)一(yī)威脅并未被反病毒引擎檢測到的原因在于:Flash漏洞嵌入在Excel文件中直接包含的ActiveX對象上(shàng),而不是在網頁上(shàng)托管。
二、垃圾代碼做掩護
火(huǒ)眼發現(xiàn)的另一(yī)個(gè)威脅被認為(wèi)是由黑客小組APT3使用的,它是UPS後門的一(yī)個(gè)變種。這(zhè)種惡意軟件也(yě)成功隐身(shēn)了(le)6個(gè)月(yuè)(yuè),原因可能(néng)是該樣本中包含巨量的垃圾代碼,掩蓋了(le)其惡意軟件的本質,并使得分(fēn)析工作(zuò)更難進行。
三、比特串串聯
火(huǒ)眼在今年1月(yuè)(yuè)發現(xiàn)了(le)一(yī)種包含VBA宏和Metasploitshellcode加載器(qì)後門的惡意軟件,它僅被火(huǒ)眼使用的一(yī)個(gè)反病毒引擎檢測到。這(zhè)一(yī)威脅是在2015年9月(yuè)(yuè)上(shàng)傳到VirusTotal的,它有可能(néng)是中東的APT小組使用的。證據指向了(le)與伊朗有關(guān)連的網絡間(jiān)諜小組RocketKitten。
由于VBA宏中使用了(le)比特串串聯(byteconcatenation)技術,該威脅可能(néng)繞過了(le)基于簽名的檢測手段。
四、堆噴射技術隐身(shēn)
最後一(yī)個(gè)與APT相關(guān)的惡意軟件在六個(gè)月(yuè)(yuè)時(shí)間(jiān)段内極少被檢測到,它是通過韓軟Office文檔進行傳播的,其目标可能(néng)是攻擊韓國。研究人(rén)員(yuán)認為(wèi)該惡意軟件有可能(néng)通過改造後的堆噴射技術做到了(le)隐身(shēn),它可以使用一(yī)種不同的格式來(lái)觸發想要利用的漏洞。
五、其他
火(huǒ)眼還發現(xiàn)了(le)無法找到其來(lái)源的惡意軟件,比如(rú)OccultAgent後門、一(yī)種用于攻擊巴西(xī)的遠(yuǎn)程控制軟件,以及一(yī)種在一(yī)年時(shí)間(jiān)内保持隐身(shēn)狀态的惡意軟件下(xià)載器(qì)。
這(zhè)些(xiē)威脅源使用的回避技術包括:使用多種腳本語言、多層封包、多階段感染,外加多種通過Office文檔加載惡意内容的技術。
火(huǒ)眼在發布的博文中說(shuō):“要想正确地做到檢測,必須從攻擊的整個(gè)生(shēng)命周期上(shàng)進行監控,而不是僅在可疑文檔或文件進入網絡時(shí)才提起注意。這(zhè)種方式對于檢測并攔截多階段感染策略十分(fēn)必要。盡管發送啓用宏的表格文檔等行為(wèi)看上(shàng)去是無害的,最終,後續攻擊的某一(yī)步終将觸發檢測。”
“在攻擊,甚至是多階段攻擊剛剛出現(xiàn)時(shí),制止起來(lái)是最容易的。與此同時(shí),也(yě)最容易确定是否存在零日漏洞、威脅源是否需要采取文檔宏等用戶交互手段完成攻擊。”
微信掃一(yī)掃
關(guān)注昊雲訂閱号
在線客服