發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-11-11 瀏覽次數(shù): 次
研究人員發(fā)現(xiàn)的幾種惡意軟件樣本使用了一些耐人尋味的技術(shù),能夠更長(zhǎng)久地維持對(duì)反病毒引擎的隱身狀態(tài)。
方法一、偽裝Excel 利用Flash火眼公司發(fā)現(xiàn)的其中一個(gè)威脅被認(rèn)為是由攻擊臺(tái)灣的某APT小組使用的。
在六個(gè)月時(shí)間內(nèi),它在VirusTotal上成功保持0/53的檢測(cè)率。
該惡意軟件屬于后門(mén)程序,被安全專家稱為GoodTimes。
它將自己偽裝成Excel文件并利用 Hacking Team 數(shù)據(jù)泄露事件中流出的 Flash Player 漏洞進(jìn)行入侵。
研究人員認(rèn)為這一威脅并未被反病毒引擎檢測(cè)到的原因在于:Flash漏洞嵌入在Excel文件中直接包含的ActiveX對(duì)象上,而不是在網(wǎng)頁(yè)上托管。
方法二、垃圾代碼做掩護(hù)火眼發(fā)現(xiàn)的另一個(gè)威脅被認(rèn)為是由黑客小組APT3使用的,它是UPS后門(mén)的一個(gè)變種。
這種惡意軟件也成功隱身了6個(gè)月,原因可能是該樣本中包含巨量的垃圾代碼,掩蓋了其惡意軟件的本質(zhì),并使得分析工作更難進(jìn)行。
方法三、比特串串聯(lián)火眼在今年1月發(fā)現(xiàn)了一種包含VBA宏和Metasploit shellcode加載器后門(mén)的惡意軟件,它僅被火眼使用的一個(gè)反病毒引擎檢測(cè)到。
這一威脅是在2015年9月上傳到VirusTotal的,它有可能是中東的APT小組使用的。
證據(jù)指向了與伊朗有關(guān)連的網(wǎng)絡(luò)間諜小組Rocket Kitten。
由于VBA宏中使用了比特串串聯(lián)(byte concatenation) 技術(shù),該威脅可能繞過(guò)了基于簽名的檢測(cè)手段。
方法四、堆噴射技術(shù)隱身最后一個(gè)與APT相關(guān)的惡意軟件在六個(gè)月時(shí)間段內(nèi)極少被檢測(cè)到,它是通過(guò)韓軟Office文檔進(jìn)行傳播的,其目標(biāo)可能是攻擊韓國(guó)。
研究人員認(rèn)為該惡意軟件有可能通過(guò)改造后的堆噴射技術(shù)做到了隱身,它可以使用一種不同的格式來(lái)觸發(fā)想要利用的漏洞。
方法五、其他火眼還發(fā)現(xiàn)了無(wú)法找到其來(lái)源的惡意軟件,比如OccultAgent后門(mén)、一種用于攻擊巴西的遠(yuǎn)程控制軟件,以及一種在一年時(shí)間內(nèi)保持隱身狀態(tài)的惡意軟件下載器。
這些威脅源使用的回避技術(shù)包括:使用多種腳本語(yǔ)言、多層封包、多階段感染,外加多種通過(guò)Office文檔加載惡意內(nèi)容的技術(shù)。
火眼在發(fā)布的博文中說(shuō):“要想正確地做到檢測(cè),必須從攻擊的整個(gè)生命周期上進(jìn)行監(jiān)控,而不是僅在可疑文檔或文件進(jìn)入網(wǎng)絡(luò)時(shí)才提起注意。
這種方式對(duì)于檢測(cè)并攔截多階段感染策略十分必要。
盡管發(fā)送啟用宏的表格文檔等行為看上去是無(wú)害的,最終,后續(xù)攻擊的某一步終將觸發(fā)檢測(cè)。
在攻擊,甚至是多階段攻擊剛剛出現(xiàn)時(shí),制止起來(lái)是最容易的。
與此同時(shí),也最容易確定是否存在零日漏洞、威脅源是否需要采取文檔宏等用戶交互手段完成攻擊。
Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有