惡意軟件變異:改變行為以實現隱蔽性和持久性
近年來,企業組織為了應對惡意軟件威脅采取了大量工作,但是,似乎每天都有新的惡意軟件樣本能夠繞過各種防護措施。這些層出不窮的惡意軟件從何而來?答案是惡意軟件變異。通過變異,攻擊者讓惡意軟件不斷“煥然一新”,從而逃避安全控制。
例如 REvil 或 DarkSide 這樣的組織會在其惡意代碼中放置“識別開關”,用于檢查它所在設備上的語言是否為俄語或英語。這種策略造成了惡意軟件的“變異性”——同一段代碼可以在不同的計算機上進行不同的操作,具體不同取決于操作系統版本、安裝的庫或語言設置。如果有人嘗試在三到四臺不同的機器上運行相同的惡意軟件,可能會得到三到四種不同的操作行為。
惡意軟件變異性的廣泛性
雖然安全研究人員早就意識到惡意軟件的變異性,但很少有研究人員評估其廣泛性。為了解更多信息,馬里蘭大學帕克分校研究助理 Erin Avllazagaj 查看了 113 個國家/地區的 540 萬臺真實主機中記錄的 760 萬條惡意軟件執行痕跡。結果發現,由于時間和設備不同而產生的這種變異性,可能會帶來令人不安的影響——企業安全人員不能簡單地說一個惡意軟件是木馬,即便它的行為確實很像木馬,也許在下一次執行時它又會表現得像勒索軟件一樣。
有時,這些變化是無意的,因為惡意軟件無法正常運行。我們更應該關注那些有意的變化——當惡意軟件被設計為“僅在正確的計算機或在正確情況下執行某些活動”時,那些不滿足這些條件的惡意軟件會表現出良性特征。像這種在大多數機器上看起來是良性的惡意軟件,很難被發現。一般情況下,國家資助的黑客組織會利用惡意軟件變異性的復雜性,實施攻擊活動。但研究顯示,一些大規模分布的惡意軟件同樣使用了這些技巧。
Avllazagaj 的研究可以揭示惡意代碼的變異性,以幫助安全社區更好地理解這個問題。Avllazagaj 表示:“我們憑經驗評估了惡意軟件發生了多少變化、其行為的哪些部分發生了變化,以及可以采取哪些措施來應對這些變化。對此,防病毒供應商正處于非常有利的位置,可以采取一些行動進行應對。”
Avllazagaj 及其同事研究了幾種惡意軟件的行為,包括 Ramnit ,一種影響 Windows 設備的蠕蟲,旨在竊取信息;以及 DarkComet RAT ,它也可以竊取密碼并截取屏幕截圖。通過分析 2018 年捕獲的 760 萬個樣本,研究人員注意到大部分惡意軟件的變異性與文件創建和命名有關。研究人員稱, DarkComet RAT 在某些執行過程中創建了注冊表項,而 Ramnit 有時會構建很多互斥鎖( Mutex ),這可能是因為它需要一直運行漏洞直至成功為止。
研究人員在一篇論文中寫道:“對于至少 50% 的惡意軟件來說,在一次執行過程中觀察到的 30% 的操作不會出現在另一臺設備上。此外,一半的惡意軟件樣本在所有執行過程中似乎只存在 8% 的共同參數。”這再次證明,使用沙箱分析惡意軟件并不能提供全貌。當安全專家想要查看特定樣本是否屬于特定惡意軟件家族時,僅在一個沙箱中執行一次操作遠遠不夠。分析惡意軟件的安全專家需要使用多臺電腦捕捉不同行為。
研究人員表示,分析人員應該在第一次收到惡意軟件樣本 3 周后重新執行它們,以更新其行為模型。
為什么惡意軟件會改變行為?
復雜的威脅行為者,例如國家資助的團體,有足夠的資源來創建自定義工具,這些工具在大多數設備上看起來都是良性的,并且只有在滿足某些條件時才會觸發。惡意軟件開發者這樣做,主要是為了實現惡意軟件的隱蔽性和持久性。在大多數情況下,攻擊性很強的惡意軟件都會將“隱蔽性”作為一個重要考量因素。攻擊者一開始都會先執行一些小工具,因為即便它們被發現或檢測到,替換這些小工具也要比替換完整的關鍵惡意程序容易得多。
不過, APT 組織并不是唯一使用這種策略的團體。研究顯示,勒索軟件組織也在采用這種策略,通常勒索軟件被部署為第二階段的有效載荷。有些勒索軟件還會在執行時檢查其環境,如果發現勒索軟件在測試環境或虛擬機中運行,則拒絕執行任何更改。勒索軟件組織還會部署虛擬映像來執行其有效載荷以逃避檢測。
未來,我們可能會看到更多具有可變行為的惡意軟件在各行各業產生影響,國家資助的團體和網絡犯罪分子也都在不斷磨練技能。為了應對這種情況,防病毒企業正在密切研究這些群體,并采用廣泛的技術分析那些不同尋常的樣本,以便了解其微小細節。它一般通過將反匯編程序中的靜態分析與某些沙盒環境、虛擬機等相結合來完成。
這種分析不太可能因惡意軟件在不同環境中表現出的不同而受到阻礙——開展逆向工程的人員無需執行即可查看實際程序,因此他們可以探索代碼中的所有可能路徑。雖然這種方法很耗時,但它可以幫助回答一些難題,例如“惡意軟件如何生成文件名或注冊表項?”或“它如何生成所連接的 URL ?”
隨著勒索軟件團伙和國家支持的間諜組織能力不斷升級,了解這些問題和廣泛的惡意軟件行為將變得至關重要。這種知識將使組織更加警覺,以保護自身安全。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
