习俗反病毒产品丧钟响起

倒病毒产品开发人员必需在实验室运行恶意代码,才能够找到并建恶意代码的辨识信息(签名)。如果无法运转恶意代码,将发出什么状况为?

习俗反病毒产品的开发者需要以下前提才会如愿出反病毒产品:

· 能够以实验室运行恶意代码。

· 能够自动对恶意代码进行解析。

假若无如此的前提,会什么呢?

干什么一定用及时有限独前提?

人情反病毒软件的客户端需要持续将收缴的代码和数据库中保留之恶意代码识别标志进行比对,才能够窥见恶意代码。建立恶意代码识别标志的数据库需要针对恶意代码进行剖析。如果无法对恶意代码进行解析,无法获得恶意代码的性状,反病毒软件就从不用武之地了。

另一个题材是,如今网犯罪分子活动猖獗,每天新面世的恶意代码超过5万独。而针对性恶意代码进行解析是一个劳动密集型的劳作,因此反病毒软件厂商用分析流程展开了自动化规划,以便能够提高分析速度,让恶意代码特征数据库保持最新。

如果无法对恶意代码样本进行自动化分析,新出现的恶意代码数量将会晤快为反病毒软件厂商的恶意代码特征库与时代脱节。

坏消息

“我们透过技术测算,如果恶意代码在黑深范围扩散,将见面对自动化恶意代码分析带来沉重之打击,恶意代码分析将移得并非效率及实用性。”

以上言论摘自乔治亚理工学院信息安全基本的Chengyu Song和Paul
Royal所发的舆论。在论文结尾,他们是这么总结的:“Flashback使用让染系统的奇特硬件特征(UUID)作为密钥的点子,意味着恶意代码编造者已经初步通过本文所陈述之主意保护自家代码了。”

自思念大家兴许还记得Flashback。它是苹果Mac系统及率先缓真的恶意代码。更主要的凡,它采用了拥有开创性的加密技术。

德州大学之Daryl Ashley在祥和之稿子中解释了Flashback
恶意代码是何等运用吃感染电脑硬件UUID(Universally Unique
Identifier)将那自己有加密的细节。虽然加密技术并无新,但是将加密技术与特定电脑的表征结合用来混淆视听或伪装恶意代码,就老大奇特了。

据悉主机标示的加密

这种代码混淆技术让喻为基于主机标示加密(Host Identity-based
Encryption,HIE)。它跟音像行业预防CD拷贝的技艺类,然我们看看她是何许行事之:

澳门新匍京娱乐场国际品牌 1 

首先用某种手段,让恶意代码下载器(loader)能够成功登电脑。接下来,下载器会收集该主机的一定硬件信息,利用收集来之音信创建一个加密密钥,并因此这密钥修改及加密远端的恶意代码主程序。

通下就是是下充斥于加密后的恶意代码主程序。

下一场下载器会重新收集相同之硬件信息,并生成相同的密钥。这是拖欠次的竟然之处。接下来下载器会为此密钥解密恶意代码主程序,进行安装并施行犯罪活动。

开始自我认为先加密再解密有些多余,但是仔细考虑,又以为这是单避免接触任何报警的妙方法。更要之凡,在装过程被,如果恶意代码被外反病毒程序截获,也尚无呀关联。

盖反病毒软件所缴获的恶意代码,只是针对该主机的恶意代码,换一尊主机,这个代码就失效了,因为代码无法给科学解密。这就表示,那些靠逆向工程还原代码的大家,必须先行想方针对代码进行科学解密。Song
和 Royal在舆论中对HIE的优势拓展了总结:

动用了进取的加密技术。就算是反病毒专家知道密钥是怎样转移的,也非会见潜移默化该恶意代码的护力量。除非家等能够很成同样的密钥,否则无法解密恶意代码样本。

肆意两独恶意代码样本使用的是例外之密钥,这意味就是算是成分析了一个代码样本,对于其它一个代码样本的剖析,也从未外救助。

变密钥需要主机的焉消息?

研讨人员发现,收集主机的怎么信息之所以来扭转密钥,完全是恶意代码开发者控制的。为了求证他们之当即同意,他们采用了一晃硬件ID进行测试:

Environment Block:
当信息搜集进程创造后,Windows存储环境信息会进该过程的地点空间。在咱们的宏图被,我们应用了经过拥有者的用户称,计算机名以及CPU编码。由于代码可以直接读取环境块被的信,因此这些信获取起来颇爱。

MAC address:网卡的MAC地址可以透过GetAdaptersInfo API函数获取。

Graphics Processing Unit (GPU) 信息:
GPU的信可经过IDirect3D9Ex接口的GetAdapterIdentifier方法得到。在咱们的筹划着,我们采用了设备描述。

User Security Identifier (SID):
所使用的过程使牌。通过GetTokenInformation
API可以获取当前过程拥有者的SID。在Windows域中,该代码是绝无仅有的。

再度多好消息

假若以上信息还无算是很之语句,我们好省今年初Dancho
Danchev为WebRoot写的均等篇博客。其中他指出恶意代码制造者一直在竭力隐藏恶意代码,以下是少数只例子:

Fully Undetectable cryptors:
设计用来覆盖恶意代码的工具,防止电脑被之安全软件检测及恶意代码。其规律是不断变更cryptor直到恶意代码无法给反病毒程序发现了。

Server-side polymorphism:
恶意代码每运行一糟就是改变有。这种转移是深受服务器端控制的,防止被安全软件厂商研究有代码改变方法。

藏匿和相反影

于自身阅读论文的时,我思及时有限只研究人员是勿是给咱提供了应对方案也?果然他们在论文后提供了一定量沾建议:

直当叫染的肉鸡上析恶意代码。

募集主机和网络环境信息,并于受控的实验室环境将这些环境完全复制出来。

总结

我连无思量危言耸听,但是咱要意识及其中的险恶信号。基于HIE技术之黑心软件,比如Flashback
正在四处扩散。另外我只要强调的是,正如我以事先多篇被关系的,对终极用户展开安全教育,阻断恶意代码进入电脑的第一步,是无限着重之。

发表评论

电子邮件地址不会被公开。 必填项已用*标注