惡意軟件逃避技術總是在不斷演變，上個月的RSA大會上安全公司Lastline的聯合創始人講述了逃避技術發展的圖景。這篇名為“逃避型惡意軟件的揭露和解構”的報告，進進一步驗證了一個觀點：“殺毒軟件沒死，只是跟不上時代”。

報告指出，在2014年，只有一小部分惡意軟件顯示出了逃避的特性，但到了現在，相當大的一部分惡意軟件會利用500種逃避技術進行任意組合，以避免被檢測和分析。

Lastline指出，單個的惡意軟件樣本通常只具有10種逃避行為。不過研究表明，其中的四種是最常見的：環境意識、自動化迷惑工具、基于時序的逃避、混淆內部數據。

環境意識

環境意識讓惡意軟件樣本能夠檢測它本身試圖感染的系統的運行環境。這種逃避行為使得惡意軟件能夠檢測到虛擬機和實體機之間的差異，以及操作系統的構件。舉例而言，根據Lastline今年早些時候發布的一份研究報告，Carbanak惡意軟件中大約五分之一(17%)的樣本在執行前試圖檢測虛擬沙盒環境。

自動化迷惑工具

它使得惡意軟件避免被基于特征檢測的技術發現，比如殺毒軟件。銀行業惡意軟件Dyre(Dyreza)是這方面很合適的例子。根據Talos集團兩位安全研究人員的報告，Dyre的老版本中硬編碼了在和幕后服務器通信時自身使用的URL。不過，為了越過惡意軟件黑名單，Dyre的編寫者開始每天修改幕后服務器的域名。為了適應不斷變化的域名，Dyre的新版本中部署了域名生成算法(Domain Generation Algorithm，DGA)，這種算法會在任何給定的時刻計算出幕后服務器的域名位置。各機構以前可以封鎖與惡意軟件有關的流量，但這種修改給封鎖行動制造了麻煩。

基于時序的逃避

這是第三種最普遍的逃避技術。通過這種方法，惡意軟件可以在特定時間，或用戶采取特定行為時啟動。其具體使用有如下幾種情景：在最初感染后彈出一個窗口，等待用戶點擊;僅在系統重啟后啟動;僅在特定的日期前后啟動。惡意軟件Balck POS是如今市面上***的POS惡意軟件種類，它的一些樣本，特別是新的變種具備某種程度的基于時序的逃避技術。它會查看被感染機器的系統時間，并和其本身硬編碼的時間進行比對。該功能可以使Black POS只在特定的時間段運行，而在其它時間休眠。

混淆內部數據

這種逃避技術最常見。使用這種技術的惡意軟件可能會采取一系列方式，讓代碼規避分析系統的檢測。ROM是Backoff POS惡意軟件的新變種，它深諳此道。比如，ROM會將API名稱替換為Hash過的數值，使用一個Hash表來逃過解析過程的某幾個特定步驟，并使用443端口和幕后服務器進行通信，這會有效地加密網絡流量。這三種修改使得系統很難有效地識別出ROM的惡意性。

需要特別注意的是，Lastline分析的惡意軟件往往會將這四種行為混合使用。具體來講，Carbanak軟件中95%的樣本都會通過代碼注入和將.exe文件偽裝成系統文件來隱藏自身的網絡活動，混淆內部數據。與此同時，Backoff的加密行為會通過自動化工具妨礙檢測;Dyre會分析其運行環境，以確定接下來做什么，如果它是從Windows目錄下執行的話，其可能行為包括作為”googleupdate”服務進行安裝。

顯然，通過使用逃避技術，今天的惡意軟件正變得更加復雜。但對于信息安全社區而言還有希望。上個秋天，波士頓東北大學的一位教授在為IBM安全情報中心撰文時表示，安全研究者們正開始針對逃避行為使用特征分析系統，以檢測惡意軟件。

除了將逃避技術作為惡意軟件的信號之外，安全人員也可以對抗逃避行為。這位教授在2013年的RSA大會上演講時提到，人們需要理解并對抗逃避型惡意軟件。惡意軟件經常會尋找觸發局(Triggers)，安全人員可以將它們隨機化來檢測惡意軟件的環境分析行為。安全人員也可以通過為代碼執行設置自動側寫來防止基于時序的逃避行為。

類似和更多的解決方案告訴我們不要在與逃避技術的斗爭中放棄。惡意軟件可能會越來越成熟，因為它們增加了反檢測措施，但每天，安全社區都會發現新的方法，使用與惡意軟件相同的逃避策略來對抗它們，以其人之道還其人之身。

原文地址：http://www.aqniu.com/security-reports/7629.html