研究人員發(fā)現(xiàn)的幾種惡意軟件樣本使用了一些耐人尋味的技術(shù)，能夠更長(zhǎng)久地維持對(duì)反病毒引擎的隱身狀態(tài)。

方法一、偽裝Excel 利用Flash火眼公司發(fā)現(xiàn)的其中一個(gè)威脅被認(rèn)為是由攻擊臺(tái)灣的某APT小組使用的。

在六個(gè)月時(shí)間內(nèi)，它在VirusTotal上成功保持0/53的檢測(cè)率。

該惡意軟件屬于后門程序，被安全專家稱為GoodTimes。

它將自己偽裝成Excel文件并利用 Hacking Team 數(shù)據(jù)泄露事件中流出的 Flash Player 漏洞進(jìn)行入侵。

研究人員認(rèn)為這一威脅并未被反病毒引擎檢測(cè)到的原因在于：Flash漏洞嵌入在Excel文件中直接包含的ActiveX對(duì)象上，而不是在網(wǎng)頁上托管。

　　方法二、垃圾代碼做掩護(hù)火眼發(fā)現(xiàn)的另一個(gè)威脅被認(rèn)為是由黑客小組APT3使用的，它是UPS后門的一個(gè)變種。

這種惡意軟件也成功隱身了6個(gè)月，原因可能是該樣本中包含巨量的垃圾代碼，掩蓋了其惡意軟件的本質(zhì)，并使得分析工作更難進(jìn)行。

　　方法三、比特串串聯(lián)火眼在今年1月發(fā)現(xiàn)了一種包含VBA宏和Metasploit shellcode加載器后門的惡意軟件，它僅被火眼使用的一個(gè)反病毒引擎檢測(cè)到。

這一威脅是在2015年9月上傳到VirusTotal的，它有可能是中東的APT小組使用的。

證據(jù)指向了與伊朗有關(guān)連的網(wǎng)絡(luò)間諜小組Rocket Kitten。

由于VBA宏中使用了比特串串聯(lián)(byte concatenation) 技術(shù)，該威脅可能繞過了基于簽名的檢測(cè)手段。

　　方法四、堆噴射技術(shù)隱身最后一個(gè)與APT相關(guān)的惡意軟件在六個(gè)月時(shí)間段內(nèi)極少被檢測(cè)到，它是通過韓軟Office文檔進(jìn)行傳播的，其目標(biāo)可能是攻擊韓國。

研究人員認(rèn)為該惡意軟件有可能通過改造后的堆噴射技術(shù)做到了隱身，它可以使用一種不同的格式來觸發(fā)想要利用的漏洞。

　　方法五、其他火眼還發(fā)現(xiàn)了無法找到其來源的惡意軟件，比如OccultAgent后門、一種用于攻擊巴西的遠(yuǎn)程控制軟件，以及一種在一年時(shí)間內(nèi)保持隱身狀態(tài)的惡意軟件下載器。

這些威脅源使用的回避技術(shù)包括：使用多種腳本語言、多層封包、多階段感染，外加多種通過Office文檔加載惡意內(nèi)容的技術(shù)。

火眼在發(fā)布的博文中說：“要想正確地做到檢測(cè)，必須從攻擊的整個(gè)生命周期上進(jìn)行監(jiān)控，而不是僅在可疑文檔或文件進(jìn)入網(wǎng)絡(luò)時(shí)才提起注意。

這種方式對(duì)于檢測(cè)并攔截多階段感染策略十分必要。

盡管發(fā)送啟用宏的表格文檔等行為看上去是無害的，最終，后續(xù)攻擊的某一步終將觸發(fā)檢測(cè)。

”“在攻擊，甚至是多階段攻擊剛剛出現(xiàn)時(shí)，制止起來是最容易的。

與此同時(shí)，也最容易確定是否存在零日漏洞、威脅源是否需要采取文檔宏等用戶交互手段完成攻擊。

”