安全问题:什么是混淆及其工作原理?

安全问题:什么是混淆及其工作原理?

随着现有的恶意软件越来越受欢迎,黑客需要使用各种技术来掩盖他们的活动。从零日攻击到勒索软件变种,每天都会发现新的恶意软件样本。

随着恶意软件的逐渐普及和网络攻击成功后的高回报——尽管违法,普通的黑客几乎不再需要学习如何开发自定义恶意代码。

相反,任何人都可以轻松购买现成的恶意软件。虽然一些最复杂的恶意软件要价7,000美元及以上,但是也可以以更低的价格,甚至是免费的方式获取漏洞利用工具包。

这种称之为“商品”的恶意软件的问题在于,反病毒公司很清楚它们的存在,所以这些公司可以在恶意软件系列造成损害之前对其进行检测。

所以,黑客如何规避这种保护措施呢?

这种方式称为混淆。

混淆的目标是通过改变恶意代码的整体签名和指纹来匿名化网络攻击者,降低暴露的风险并隐藏恶意软件——尽管有效载荷是已知威胁。

在《威胁情报公报》中,网络安全公司Cylance解释了它的工作原理。

研究人员指出:“签名只是一个哈希,在这种情况下,哈希是指一段恶意软件的唯一字母数字表示。签名通常是哈希值,但它们也可能是恶意软件内部唯一一段代码的其他简要表示。”

不是通过改变恶意软件本身来创建新的签名,混淆主要在传递机制上起作用,欺骗严重依赖签名的防病毒解决方案。(与使用机器学习,预测分析和支持AV的AI相比,一些研究人员认为这一技术已经过时。)

混淆包括隐藏恶意软件的各种技术创建一系列模糊层,Cylance将其比做俄罗斯套娃。

这些技术包括:

Packers: 这些软件包将恶意软件程序压缩使其隐形,使原始代码不可读。

Crypters:Crypters可以加密恶意软件程序或软件的一部分,以限制对代码的访问,这些代码向防病毒产品警告熟悉的签名。

无用代码插入:添加无效代码到恶意软件中可以掩盖程序外观。

更改指令:黑客可能会更改恶意软件中的指令代码,这些代码最终会改变代码的外观——但不会改变行为——以及更改脚本的顺序。

异或操作(XOR):这种混淆的常用方法可以隐藏数据,因此除非将XOR值0x55应用于代码,否则无法读取数据。

ROT13:这种技术是用于“旋转”的ASM指令,可将代码替换为随机字母。

研究人员说:“虽然一些防病毒产品也会防范一些常见的混淆技术,将它们加入黑名单,但这种做法并不像恶意软件有效负载签名的黑名单那样成熟。”

在一个有趣的混淆示例中,Cylance发现了一个名为PowerShell的Microsoft Windows工具被黑客滥用。

该公司获得的恶意软件样本是一个.ZIP文件,其中包含一个PDF文档和VBS脚本,该脚本使用基本的Base64编码来混淆一个层。然后拆分字符串,标记刻度和随机大写字母来分割和更改签名。

其中的一个特定文件1cr.dat显示了另一种混淆方法。这是一个名为SecureString的字符串加密设置,合法应用程序通常使用它来在Microsoft的内置DPAPI加密应用程序中敏感的代码字符串。

有效负载还包含如何避免沙箱的说明,安全研究人员使用这些沙箱来解压缩和分析恶意软件。

在发现时,只有三个防病毒签名引擎检测到混淆技术,并且只有两个在第一次使用时就发现了恶意软件。

只要恶意软件存在,混淆技术就会存在。虽然日常用户几乎无法对攻击方法采取行动,但网络安全公司却注意到了——现在,不仅仅是0-day受关注,而是创造性地使用常见恶意软件受到的关注也越来越多。

越来越多的黑客将混淆技术与恶意软件结合使用。这种趋势与信息安全领域广泛认同的观点背道而驰,大家普遍认为高度定制的恶意软件与零日攻击相结合最值得关注。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/sole/view/113583.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code