Anonim
[安全系列]最恶意的恶意软件

一些恶意软件攻击如此公然,您不能错过自己受害的事实。 勒索软件程序会锁定对计算机的所有访问权限,直到您付费将其解锁为止。 社交媒体劫持者在您的社交媒体页面上发布奇怪的状态更新,感染任何点击其中毒链接的人。 即使没有打开浏览器,广告软件程序也会在桌面上弹出广告。 是的,这些都很烦人,但是由于您知道有问题,因此您可以研究找到防病毒解决方案。

完全看不见的恶意软件感染可能更加危险。 如果您的防病毒软件没有“看到”它,并且您没有注意到任何不良行为,则该恶意软件可以自由跟踪您的网上银行活动或将您的计算能力用于邪恶目的。 他们如何保持隐形? 这是恶意软件可以向您隐藏的四种方法,然后是一些有关看不见的想法。

  • 操作系统颠覆
    Windows资源管理器可以列出所有照片,文档和其他文件,这是理所当然的,但要实现这一目标,很多事情在后台进行。 软件驱动程序与物理硬盘驱动器进行通信以获取位和字节,然后文件系统将这些位和字节解释为操作系统的文件和文件夹。 当程序需要获取文件或文件夹列表时,它将查询操作系统。 实际上,任何程序都可以自由地直接查询文件系统,甚至可以直接与硬件进行通信,但是只需要在OS上调用,就容易得多。

    Rootkit技术通过拦截对操作系统的调用,使恶意程序有效地将自身从视图中清除。 当程序在某个位置请求文件列表时,rootkit将该请求传递给Windows,然后在返回列表之前删除对其自身文件的所有引用。 严格依赖Windows来获取有关存在哪些文件的信息的防病毒程序永远不会看到rootkit。 一些rootkit应用类似的技巧来隐藏其注册表设置。

  • 无文件恶意软件
    典型的防病毒软件会扫描磁盘上的所有文件,检查是否没有恶意文件,并在允许执行之前先扫描每个文件。 但是,如果没有文件怎么办? 十年前,Slammer蠕虫在全球网络上造成了严重破坏。 它使用缓冲区溢出攻击执行任意代码,直接在内存中传播,并且从未将文件写入磁盘。

    最近,卡巴斯基的研究人员报告了一种无文件Java感染,攻击了俄罗斯新闻站点的访问者。 该漏洞利用横幅广告进行传播,将代码直接注入基本的Java流程中。 如果成功关闭了“用户帐户控制”,它将与命令和控制服务器联系以获取有关下一步操作的说明。 可以将其想象为银行抢劫案中的同伴,他通过通风管道爬入并关闭了其余人员的安全系统。 根据卡巴斯基的说法,这时的一个常见操作是安装Lurk Trojan。

    只需重新启动计算机,即可清除严格存在于内存中的恶意软件。 在某种程度上,这就是他们如何成功击退Slammer。 但是,如果您不知道有问题,就不会需要重启。

  • 面向返回的编程
    微软的BlueHat奖安全性研究竞赛的所有三个入围者都涉及到面向返回的编程或ROP。 使用ROP的攻击是阴险的,因为它没有安装可执行代码,并非如此。 而是在其他程序(甚至是操作系统的一部分)中找到所需的指令。

    具体来说,ROP攻击会寻找既执行某些有用功能又以RET(返回)指令结尾的代码块(专家称为“小工具”)。 当CPU遇到该指令时,它将控制权返回给调用过程,在本例中为ROP恶意软件,它可能从另一个程序启动下一个扩展的代码块。 大量的小工具地址只是数据,因此检测基于ROP的恶意软件非常困难。

  • 科学怪人的恶意软件
    在去年的Usenix WOOT(进攻性技术研讨会)会议上,得克萨斯大学达拉斯分校的一对研究人员提出了类似于面向返回程序设计的想法。 他们在题为《弗兰肯斯坦:从良性二进制文件中窃取恶意软件》的论文中,描述了一种通过将已知和可信程序中的代码块拼凑在一起来创建难以检测到的恶意软件的技术。

    该论文解释说:“通过完全由良性分类的二进制文件共有的字节序列组成新的二进制文件,所得的突变体不太可能匹配包括二进制特征的白名单和黑名单的签名。” 该技术比ROP灵活得多,因为它可以合并任何代码块,而不仅是以重要的RET指令结尾的代码块。

如何看清看不见的东西
好消息是,您可以获得帮助来检测这些狡猾的恶意程序。 例如,防病毒程序可以通过多种方式检测rootkit。 一种缓慢但简单的方法涉及对Windows报告的磁盘上所有文件进行审核,通过直接查询文件系统进行另一审核,并查找差异。 而且由于rootkits专门破坏Windows,因此不会欺骗启动进入非Windows操作系统的防病毒软件。

仅内存,无文件的威胁将屈服于防病毒保护功能,该功能可以跟踪活动进程或阻止其攻击媒介。 您的安全软件可能阻止访问受威胁威胁的受感染网站,或者阻止其注入技术。

科学怪人的技术可能会愚弄严格基于签名的防病毒软件,但是现代安全工具已经超越了签名。 如果拼凑而成的恶意软件实际上做了一些恶意的操作,则基于行为的扫描程序可能会找到它。 而且,由于它从未被发现过,因此像赛门铁克的Norton File Insight这样的系统将普遍性考虑在内,会将其标记为危险异常。

至于缓解面向返回的编程攻击,这确实很困难,但是已经为解决它投入了大量的脑力。 经济实力也是如此-微软向从事该问题研究的顶尖研究人员提供了25万美元的奖励。 而且,由于ROP攻击非常依赖特定有效程序的存在,因此ROP攻击更有可能针对特定目标而不是在广泛的恶意软件活动中使用。 您的家用计算机可能很安全; 您办公室的PC,不是很多。