价值观反病毒产品丧钟响起

反病毒产品开发人士必需在实验室运行恶意代码,才能找到并建立恶意代码的鉴别信息(签名)。倘诺无法运行恶意代码,将时有爆发哪些动静吗?

价值观反病毒产品的开发者必要以下前提才能如愿开发反病毒产品:

澳门新匍京娱乐场国际品牌,· 可以在实验室运行恶意代码。

· 可以活动对恶意代码举行辨析。

只要没有这么的前提,会怎么着呢?

何以必须要那五个前提?

价值观反病毒软件的客户端需求持续将收缴的代码与数据库中保留的恶意代码识别标志进行比对,才能发现恶意代码。建立恶意代码识别标志的数据库须要对恶意代码举行辨析。假设无法对恶意代码进行剖析,不可能赢得恶意代码的特征,反病毒软件就不曾用武之地了。

另一个标题是,近日网络犯罪分子活动猖狂,每一天新出现的恶意代码超过5万个。而对恶意代码举办解析是一个劳动密集型的办事,因而反病毒软件厂商将分析流程进行了自动化规划,以便可以狠抓分析速度,让恶意代码特征数据库保持最新。

借使不能对恶意代码样本进行自动化分析,新面世的恶意代码数量将会很快让反病毒软件厂商的恶意代码特征库与时代脱节。

坏消息

“大家由此技术测算,如若恶意代码在私自大范围扩散,将会对自动化恶意代码分析带来沉重的打击,恶意代码分析将变得并非功能和实用性。”

如上言论摘自乔治亚理教育学院音信安全为重的Chengyu Song和Paul罗伊al所作的杂谈。在杂谈结尾,他们是这么总计的:“Flashback使用被感染系统的分化常常硬件特征(UUID)作为密钥的艺术,意味着恶意代码编造者已经上马通过本文所述的不二法门尊敬自己代码了。”

本身想大家或许还记得Flashback。它是苹果Mac系统上先是款真正的恶意代码。更重视的是,它选取了有着开创性的加密技术。

清远高校的Daryl Ashley在祥和的稿子中解释了Flashback
恶意代码是何等使用被感染电脑硬件UUID(Universally Unique
Identifier)将其自身部分加密的细节。固然加密技术并不新,可是将加密技术与一定电脑的特点结合用来混淆视听或伪装恶意代码,就很独特了。

依据主机标示的加密

那种代码混淆技术被称作基于主机标示加密(Host Identity-based
Encryption,HIE)。它与音像行业预防CD拷贝的技巧类似,然大家看看它是哪些做事的:

澳门新匍京娱乐场国际品牌 1 

第一利用某种手段,让恶意代码下载器(loader)可以得逞进入电脑。接下来,下载器会收集该主机的一定硬件音信,利用收集来的信息创立一个加密密钥,并用这么些密钥修改和加密远端的恶意代码主程序。

接下去就是下载被加密后的恶意代码主程序。

下一场下载器会重新收集相同的硬件信息,并转移相同的密钥。那是该程序的意料之外之处。接下来下载器会用密钥解密恶意代码主程序,进行安装并举行犯罪活动。

早先自我以为先加密再解密有些多余,不过仔细想想,又认为这是个幸免接触任何报警的出色方法。更主要的是,在设置进程中,若是恶意代码被其余反病毒程序截获,也并未怎么关系。

因为反病毒软件所缴获的恶意代码,只是针对该主机的恶意代码,换一台主机,这几个代码就失效了,因为代码无法被科学解密。那就表示,那么些依靠逆向工程还原代码的学者,必须先想方法对代码举办科学解密。Song
和 罗伊al在诗歌中对HIE的优势拓展了计算:

接纳了提高的加密技术。即便反病毒专家知道密钥是哪些变化的,也不会潜移默化该恶意代码的维护功用。除非专家们能生成同样的密钥,否则无法解密恶意代码样本。

肆意多个恶意代码样本使用的是例外的密钥,那表示即便成功分析了一个代码样本,对于另一个代码样本的辨析,也从没此外救助。

变更密钥须要主机的哪些新闻?

切磋人口发现,收集主机的什么信息用来变化密钥,完全是恶意代码开发者决定的。为了印证他们的这一看法,他们利用了瞬间硬件ID进行测试:

Environment Block:
当音讯收集进程成立后,Windows存储环境新闻会进入该进程的地方空间。在我们的设计中,大家使用了经过拥有者的用户名,总结机名以及CPU编码。由于代码可以一向读取环境块中的音讯,由此这个新闻获取起来很不难。

MAC address:网卡的MAC地址可以通过GetAdaptersInfo API函数获取。

Graphics Processing Unit (GPU) 音信:
GPU的音讯方可通过IDirect3D9Ex接口的GetAdapterIdentifier方法获得。在大家的规划中,我们拔取了设备描述。

User Security Identifier (SID):
所使用的长河令牌。通过GetTokenInformation
API能够得到当前经过拥有者的SID。在Windows域中,该代码是唯一的。

更加多坏音信

即使以上新闻还不算坏的话,大家得以看看今年终Dancho
Danchev为WebRoot写的一篇博客。其中她提议恶意代码成立者向来在大力隐藏恶意代码,以下是四个例证:

Fully Undetectable cryptors:
设计用来掩盖恶意代码的工具,幸免电脑中的安全软件检测到恶意代码。其原理是无休止变更cryptor直到恶意代码无法被反病毒程序发现为止。

Server-side polymorphism:
恶意代码每运行几回就改变一些。那种转移是受服务器端控制的,幸免被安全软件厂商探究出代码改变方法。

藏匿与反隐形

在我读书杂谈的时候,我想那七个研讨人口是或不是给大家提供了回复方案吧?果然他们在杂文后边提供了两点指出:

直白在被感染的肉鸡上分析恶意代码。

收集主机和网络环境音信,并在受控的实验室环境将这一个环境完全复制出来。

总结

自我并不想危言耸听,可是大家必须意识到个中的摇摇欲坠信号。基于HIE技术的黑心软件,比如Flashback
正在各市扩散。其它我要强调的是,正如我在事先很多稿子中关系的,对极端用户展开安全教育,阻断恶意代码进入电脑的首先步,是最首要的。

发表评论

电子邮件地址不会被公开。 必填项已用*标注