研究人員(yuán)發現的幾種惡意軟件(jiàn)樣本使用了一(yī)些耐人尋味的技(jì)術(shù)，能(néng)夠更長(cháng)久地維持對反病毒引擎的隐身狀态。

　　火眼公司剛剛發布了一(yī)個(gè)新的威脅分析專題，名為(wèi)“端點上(shàng)的幽靈”。

　　研究人員(yuán)分析了2015年(nián)上(shàng)傳到(dào)VirusTotal病毒掃描系統、并在2016年(nián)1月(yuè)前成功保持未檢測狀态的惡意Win32二進制文件(jiàn)和Office、RTF、韓軟Office(HangulWordProceSSOr)類型的文檔。這項研究也羅列出了一(yī)小(xiǎo)部分被反病毒引擎檢測到(dào)、卻使用了值得關注的繞過技(jì)術(shù)的惡意軟件(jiàn)樣本。

　　一(yī)、僞裝Excel利用Flash

　　火眼公司發現的其中一(yī)個(gè)威脅被認為(wèi)是由攻擊台灣的某APT小(xiǎo)組使用的。在六個(gè)月(yuè)時間内，它在VirusTotal上(shàng)成功保持0/53的檢測率。該惡意軟件(jiàn)屬于後門(mén)程序，被安全專家稱為(wèi)GoodTimes。它将自(zì)己僞裝成Excel文件(jiàn)并利用HackingTeam數據洩露事(shì)件(jiàn)中流出的FlashPlayer漏洞進行入侵。

　　研究人員(yuán)認為(wèi)這一(yī)威脅并未被反病毒引擎檢測到(dào)的原因在于：Flash漏洞嵌入在Excel文件(jiàn)中直接包含的ActiveX對象上(shàng)，而不是在網頁上(shàng)托管。

　　二、垃圾代碼做掩護

　　火眼發現的另一(yī)個(gè)威脅被認為(wèi)是由黑(hēi)客小(xiǎo)組APT3使用的，它是UPS後門(mén)的一(yī)個(gè)變種。這種惡意軟件(jiàn)也成功隐身了6個(gè)月(yuè)，原因可能(néng)是該樣本中包含巨量的垃圾代碼，掩蓋了其惡意軟件(jiàn)的本質，并使得分析工(gōng)作更難進行。

　　三、比特串串聯

　　火眼在今年(nián)1月(yuè)發現了一(yī)種包含VBA宏和Metasploitshellcode加載器(qì)後門(mén)的惡意軟件(jiàn)，它僅被火眼使用的一(yī)個(gè)反病毒引擎檢測到(dào)。這一(yī)威脅是在2015年(nián)9月(yuè)上(shàng)傳到(dào)VirusTotal的，它有可能(néng)是中東的APT小(xiǎo)組使用的。證據指向了與伊朗有關連的網絡間諜小(xiǎo)組RocketKitten。

　　由于VBA宏中使用了比特串串聯(byteconcatenation)技(jì)術(shù)，該威脅可能(néng)繞過了基于簽名的檢測手段。

　　四、堆噴射技(jì)術(shù)隐身

　　最後一(yī)個(gè)與APT相(xiàng)關的惡意軟件(jiàn)在六個(gè)月(yuè)時間段内極少被檢測到(dào)，它是通(tōng)過韓軟Office文檔進行傳播的，其目标可能(néng)是攻擊韓國(guó)。研究人員(yuán)認為(wèi)該惡意軟件(jiàn)有可能(néng)通(tōng)過改造後的堆噴射技(jì)術(shù)做到(dào)了隐身，它可以使用一(yī)種不同的格式來觸發想要利用的漏洞。

　　五、其他

　　火眼還(hái)發現了無法找到(dào)其來源的惡意軟件(jiàn)，比如OccultAgent後門(mén)、一(yī)種用于攻擊巴西(xī)的遠(yuǎn)程控制軟件(jiàn)，以及一(yī)種在一(yī)年(nián)時間内保持隐身狀态的惡意軟件(jiàn)下(xià)載器(qì)。

　　這些威脅源使用的回避技(jì)術(shù)包括：使用多(duō)種腳本語言、多(duō)層封包、多(duō)階段感染，外加多(duō)種通(tōng)過Office文檔加載惡意内容的技(jì)術(shù)。

　　火眼在發布的博文中說：“要想正确地做到(dào)檢測，必須從(cóng)攻擊的整個(gè)生(shēng)命周期上(shàng)進行監控，而不是僅在可疑文檔或文件(jiàn)進入網絡時才提起注意。這種方式對于檢測并攔截多(duō)階段感染策略十分必要。盡管發送啓用宏的表格文檔等行為(wèi)看(kàn)上(shàng)去是無害的，最終，後續攻擊的某一(yī)步終将觸發檢測。”

　　“在攻擊，甚至是多(duō)階段攻擊剛剛出現時，制止起來是最容易的。與此同時，也最容易确定是否存在零日漏洞、威脅源是否需要采取文檔宏等用戶交互手段完成攻擊。”

微信掃一(yī)掃

關注昊雲訂閱号