研究人員發現的(de)幾種惡意軟件(jiàn)樣本使用(yòng)了一些耐人尋味的(de)技術，能夠更長(cháng)久地(dì)維持對反病毒引擎的(de)隐身(shēn)狀态。

　　火(huǒ)眼公司(sī)剛剛發布了一個(gè)新(xīn)的(de)威脅分析專題，名為(wèi)“端點上的(de)幽靈”。

　　研究人員分析了2015年上傳到VirusTotal病毒掃描系統、并在(zài)2016年1月前成功保持未檢測狀态的(de)惡意Win32二進制文件(jiàn)和Office、RTF、韓軟Office(HangulWordProceSSOr)類型的(de)文檔。這(zhè)項研究也羅列出了一小部分被反病毒引擎檢測到、卻使用(yòng)了值得關注的(de)繞過技術的(de)惡意軟件(jiàn)樣本。

　　一、僞裝Excel利用(yòng)Flash

　　火(huǒ)眼公司(sī)發現的(de)其中一個(gè)威脅被認為(wèi)是由攻擊台灣的(de)某APT小組使用(yòng)的(de)。在(zài)六個(gè)月時間內(nèi)，它在(zài)VirusTotal上成功保持0/53的(de)檢測率。該惡意軟件(jiàn)屬于後門(mén)程序，被安全專家稱為(wèi)GoodTimes。它将自己僞裝成Excel文件(jiàn)并利用(yòng)HackingTeam數(shù)據洩露事件(jiàn)中流出的(de)FlashPlayer漏洞進行(xíng)入侵。

　　研究人員認為(wèi)這(zhè)一威脅并未被反病毒引擎檢測到的(de)原因在(zài)于：Flash漏洞嵌入在(zài)Excel文件(jiàn)中直接包含的(de)ActiveX對象上，而不(bù)是在(zài)網頁上托管。

　　二、垃圾代碼做(zuò)掩護

　　火(huǒ)眼發現的(de)另一個(gè)威脅被認為(wèi)是由黑(hēi)客小組APT3使用(yòng)的(de)，它是UPS後門(mén)的(de)一個(gè)變種。這(zhè)種惡意軟件(jiàn)也成功隐身(shēn)了6個(gè)月，原因可能是該樣本中包含巨量的(de)垃圾代碼，掩蓋了其惡意軟件(jiàn)的(de)本質，并使得分析工作更難進行(xíng)。

　　三、比特串串聯

　　火(huǒ)眼在(zài)今年1月發現了一種包含VBA宏和Metasploitshellcode加載器(qì)後門(mén)的(de)惡意軟件(jiàn)，它僅被火(huǒ)眼使用(yòng)的(de)一個(gè)反病毒引擎檢測到。這(zhè)一威脅是在(zài)2015年9月上傳到VirusTotal的(de)，它有可能是中東的(de)APT小組使用(yòng)的(de)。證據指向了與伊朗有關連的(de)網絡間諜小組RocketKitten。

　　由于VBA宏中使用(yòng)了比特串串聯(byteconcatenation)技術，該威脅可能繞過了基于簽名的(de)檢測手段。

　　四、堆噴射技術隐身(shēn)

　　最後一個(gè)與APT相關的(de)惡意軟件(jiàn)在(zài)六個(gè)月時間段內(nèi)極少被檢測到，它是通過韓軟Office文檔進行(xíng)傳播的(de)，其目标可能是攻擊韓國。研究人員認為(wèi)該惡意軟件(jiàn)有可能通過改造後的(de)堆噴射技術做(zuò)到了隐身(shēn)，它可以使用(yòng)一種不(bù)同的(de)格式來觸發想要利用(yòng)的(de)漏洞。

　　五、其他(tā)

　　火(huǒ)眼還發現了無法找到其來源的(de)惡意軟件(jiàn)，比如OccultAgent後門(mén)、一種用(yòng)于攻擊巴西的(de)遠(yuǎn)程控制軟件(jiàn)，以及一種在(zài)一年時間內(nèi)保持隐身(shēn)狀态的(de)惡意軟件(jiàn)下載器(qì)。

　　這(zhè)些威脅源使用(yòng)的(de)回避技術包括：使用(yòng)多種腳本語言、多層封包、多階段感染，外加多種通過Office文檔加載惡意內(nèi)容的(de)技術。

　　火(huǒ)眼在(zài)發布的(de)博文中說(shuō)：“要想正确地(dì)做(zuò)到檢測，必須從攻擊的(de)整個(gè)生命周期上進行(xíng)監控，而不(bù)是僅在(zài)可疑文檔或文件(jiàn)進入網絡時才提起注意。這(zhè)種方式對于檢測并攔截多階段感染策略十分必要。盡管發送啟用(yòng)宏的(de)表格文檔等行(xíng)為(wèi)看上去是無害的(de)，最終，後續攻擊的(de)某一步終将觸發檢測。”

　　“在(zài)攻擊，甚至是多階段攻擊剛剛出現時，制止起來是最容易的(de)。與此同時，也最容易确定是否存在(zài)零日漏洞、威脅源是否需要采取文檔宏等用(yòng)戶交互手段完成攻擊。”

微信掃一掃

關注昊雲訂閱号