登录 / 注册
IT168安全频道
IT168首页 > 安全 > 安全评论 > 正文

黑客如何隐藏恶意软件? 主要靠这三种技术!

2017-09-22 14:57    it168网站原创  作者: smart编译 编辑: 高博

  【IT168 评论】如今,在人们的安全意识日趋加强的情况下,黑客们继续开发新的侵入方式。以下介绍黑客入侵的三种方式,以及人们进行反击的方法。

  黑客们使用一些基本的技术将其恶意软件在防病毒(AV)软件的扫描和防御中隐藏起来。以下将介绍黑客所采取更加先进的混淆方法,并展示人们可用于检测恶意软件规避的新策略和技术。

  (1)反-反汇编和调试器(保护器)

  恶意软件的编写者了解恶意软件研究人员的工作原理以及他们用来寻找威胁的工具。例如,研究人员和程序员通常使用反汇编器和调试器来确定某些代码的作用。目前有许多可以检测反汇编器和调试器的工具和技术,包括内置的Windows功能。这些技术通常是为了帮助打击盗版而创建的,他们也会使用这些工具来帮助破解受保护的软件。然而不幸的是,恶意软件的编写者可以使用这些技术来查看它们是否在恶意软件分析师的计算机上运行。如果恶意软件检测到这些工具,他们可以停止运行或改变自己的行为,使分析师的工作更加难以实施。

  (2)Rootkit

  在最高级别中,rootkits是一种工具或技术的组合,允许恶意软件深入系统,并隐藏在对方的操作系统中。计算机处理器具有各种级别的特权(ring0- ring 3),攻击者可以利用这些级别的权限来欺骗以更高级的运行的程序。例如,Windows和Linux等操作系统具有用户空间和内核空间。在最高级别,只需要知道内核空间(ring0)具有比用户空间(ring3)更高的权限。如果有一个程序需要列出目录中的文件,那么可以调用一个用户空间函数去实施,但也可以调用一个内核函数去实施。

  如果一个恶意程序可以获得内核权限,它实际上可以“欺骗”运行在用户空间中的程序。因此,如果你有一个程序使用用户空间函数调用来扫描文件系统,那么内核rootkit能够在解析文件时欺骗这个程序。当用户空间函数扫描到恶意文件时,rootkit可以欺骗说“这些不是所要查找的文件”,更具体地说,只是这些文件绕过检查,而不是将其作为结果返回给用户空间程序。更糟糕的是,虚拟化为rootkit增加了新层次的保护,因为虚拟机具有比内核权限更高的权限。

  总之,恶意软件有时可以使用rootkit功能来隐藏起来,通过从操作系统本身隐藏文件,网络连接或其他东西等措施和手段,避开本地反病毒软件(AV)的扫描,也就是说,大多数反病毒软件(AV)现在都运行着自己的内核模式驱动程序和保护措施,以识别这些常见的rootkit的把戏。

  (3)代码,进程和DLL注入

  进程或动态链接库(DLL)注入代表程序可以用于在另一进程的场景下运行代码的各种技术。恶意软件的编写者经常利用这些技术来获取恶意软件代码,以便在必要的Windows应用程序中运行。例如,他们可能会注入explorer.exe,svchost.exe,notepad.exe或其他合法的Windows可执行文件。通过选择Windows需要的进程,恶意软件可能会使反病毒软件检测和查杀变得更加困难。恶意软件还可以使用已知网络功能挂接进程,以帮助屏蔽任何恶意流量。随着时间的推移,微软公司已经修复了许多被利用的进程或代码注入技术,但研究人员和攻击者不断地开发新技术,如最近发现的AtomBombing。

  恶意软件有一些可以逃避反病毒软件的技术。例如包括绑定(附加到合法程序)和计时攻击(通过休睡以避免自动分析),但还有更多的方法。

  那么反恶意软件如何检测或关闭这些漏洞?不幸的是,没有简单的答案,这种技术竞赛仍将持续下去。然而,人们的反病毒武器库中有一件很好的武器——行为恶意软件检测。

  许多恶意软件规避的措施是到改变恶其代码,以避免基于签名的检测和静态分析,或者实施在事后看起来显然是恶意的行为。虽然恶意软件可能会让自己改头换面,但并不能改变它的作用,因为它要实现感染计算机的目标,创建后门或加密文件。因此,许多先进的检测解决方案创建了一种基于其行为识别恶意软件的系统。

  一般来说,这些解决方案可以创建一个“沙盒”,就像受害者的计算机一样,具有所有正常的附带软件。当这个系统收到新的可疑的文件时,就会在这些沙盒环境中执行它们,以查看它们的作用。通过监控数百种已知的恶意软件行为(包括已知的规避技术),这些解决方案可以主动地准确判断可执行文件是否是恶意的。行为分析(将会由机器学习进一步驱动)可能是防御恶意软件的未来。

  也就是说,犯罪分子知道沙箱的作用,采取了一些最新的专门针对沙箱的规避措施。它们包括沙箱指纹测试系统(使用从CPU定时检查到已知注册表项的许多技术),延迟或定时执行,甚至检测人类交互行为(检查是否有人最近移动鼠标,以查看电脑是由人员操作还是自动化操作的)。如果恶意软件可以使用这些技术检测到沙盒,则就运行恶意行为以避免分析。

  此外,一些恶意软件的卖家已经创建了可以检测一些沙箱的保护器。然而,一些先进的检测解决方案也考虑到这一点。而不是仅仅使用现成的虚拟化环境,一些解决方案可能会使用完整的系统代码来仿真和创建沙盒环境,在这些环境中,他们可以看到恶意程序发送到物理CPU内存的每个指令。这种真实的可见性允许采用更高级的恶意软件解决方案来检测并查杀恶意软件更复杂的规避技术。

  恶意软件与安全厂商的技术竞赛是永无止境的,而人们加强防御的第一步之一就是了解黑客的最新措施和手段。人们需要了解网络犯罪分子使用的一些技术,才能更好地清除恶意软件,而行为分析已经成为现代安全技术的关键组成部分。

标签: 网络安全
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫码送文库金币

实时热点
编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部