當(dāng)新的軟件威脅被發(fā)現(xiàn)時(shí)，逆向工程師會(huì)深入到代碼以找出檢測(cè)攻擊的方法，識(shí)別該代碼及其作者，并發(fā)現(xiàn)惡意軟件背后的目的。

逆向檢測(cè)惡意程序的數(shù)字偵探與創(chuàng)建惡意軟件的開(kāi)發(fā)人員斗智斗勇，在這場(chǎng)貓捉老鼠的游戲中，逆向工程師可以很容易地找到惡意軟件的副本來(lái)破解和分析，而攻擊者則制造各種障礙來(lái)減慢分析師的工作。攻擊者制造的主要障礙是加密和混淆。

網(wǎng)絡(luò)安全公司Arbor Networks的研究分析師Jeff Edwards表示，在不太遙遠(yuǎn)的過(guò)去，惡意軟件中的加密反映了程序作者的勃勃野心。而現(xiàn)在，幾乎所有惡意軟件都使用了某種加密，大約有三分之二的僵尸網(wǎng)絡(luò)使用加密通信來(lái)混淆他們的活動(dòng)。

“他們?cè)谔岣咂浼用芗夹g(shù)方面有一個(gè)漸進(jìn)發(fā)展的趨勢(shì)，”Edward表示，“這一切都取決于僵尸網(wǎng)絡(luò)操作者和編寫(xiě)者是否感到需要往前發(fā)展的壓力。”

在Rustock和Kelihos僵尸網(wǎng)絡(luò)被撤除后，控制這些僵尸網(wǎng)絡(luò)的地下操作者可能感覺(jué)到前所未有的壓力，他們需要在更大程度上隱藏其活動(dòng)。此外，隨著惡意軟件開(kāi)發(fā)人員變得越來(lái)越有經(jīng)驗(yàn)，他們經(jīng)常采用更復(fù)雜和更好的加密技術(shù)。

例如，Black Energy僵尸軟件最初使用一種基本的加密技術(shù)來(lái)使其可執(zhí)行文件不被殺毒軟件察覺(jué)，并使用Base64編碼來(lái)擾亂其通信。這兩個(gè)都很容易被逆向工程。然而，最新版本的Black Energy使用了更強(qiáng)大的RC4流加密的一個(gè)變種(事實(shí)證明存在一些缺陷)來(lái)編碼其通信。

Arbor Networks對(duì)用于拒絕服務(wù)攻擊的四個(gè)主要僵尸程序的加密進(jìn)行了分析，分析發(fā)現(xiàn)了多種加密方法，從自定義替換算法到RC4流加密(安全套接字層使用的加密方法)等。在一個(gè)分析中，Arbor研究了Dark Comet遠(yuǎn)程訪(fǎng)問(wèn)木馬，該木馬使用RC4來(lái)加密其通信，并使用其他有趣的技術(shù)來(lái)混淆加密密鑰。

“惡意軟件從最開(kāi)始的沒(méi)有加密發(fā)展到現(xiàn)在強(qiáng)大的加密技術(shù)，”Edward表示，“RC4是目前最流行的一種加密方法，或者RC4的變種，它是一個(gè)標(biāo)準(zhǔn)，很好理解，而且很安全。”

卡巴斯基實(shí)驗(yàn)室高級(jí)安全研究員Kurt Baumgartner表示，僵尸網(wǎng)絡(luò)的加密發(fā)展很緩慢，五年前，Sinowal或者Torpig木馬使用XTEA區(qū)塊密碼的修改版本來(lái)加密其配置數(shù)據(jù)。自2008年年底以來(lái)，Waledac和Kelihos或者Hlux僵尸網(wǎng)絡(luò)使用AES混合其他編碼和壓縮來(lái)混淆他們的代碼和通信。

“在過(guò)去幾年中，我們看到惡意軟件陸陸續(xù)續(xù)開(kāi)始使用加密技術(shù)，”Baumgartner表示，“這些家伙不會(huì)放棄的。”

奇怪的是，研究人員發(fā)現(xiàn)有時(shí)候惡意軟件只是使用簡(jiǎn)單的混淆。雖然來(lái)自俄羅斯和歐洲的惡意軟件逐漸開(kāi)始采用更好的加密方法，而來(lái)自某些國(guó)家的網(wǎng)絡(luò)犯罪分子仍然使用簡(jiǎn)單的方法，有時(shí)候甚至不采用混淆。很多被認(rèn)為是高級(jí)持續(xù)性威脅的攻擊避免使用加密方法，而是用其他類(lèi)型的混淆。

“我們看到在他們的惡意軟件工具包中有各種奇怪的經(jīng)過(guò)修改的編碼方法和壓縮方法，并不是復(fù)雜的加密方法，”Baumgartner表示，“似乎他們是在努力保持在雷達(dá)下飛行。”

加密數(shù)據(jù)通常容易被檢測(cè)，但不能被解密。自定義加密或者混淆隱藏?cái)?shù)據(jù)可能不太安全，但是能夠更有效地避開(kāi)安全工具，例如防病毒檢測(cè)。