freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

恶意软件使用"新"技术规避自动威胁分析系统
2012-11-02 09:11:53

此处有点标题党嫌疑了。估计这样的技术也是由来已久了。这里尚且按照赛门铁克的说法标题党一回。

在病毒分析里面,各种沙箱,沙盒,虚拟机都应该不陌生,不管是为了可管理性,可控性,模拟多系统等的考虑,使用虚拟环境分析恶意病毒都是非常常见的手法。网上也有很多系统自动上传了文件后,使用多杀毒引擎自动分析检查病毒样本。而今,病毒就针对这样的形势,发展出检测其所在的环境。如果发现是虚拟环境,自动化检查环境就不执行,从而达到隐藏自己,规避检测。特别是那种多引擎杀毒的检测,如果能够检测到该分析系统,而规避了,很可能等于就规避了大量的杀毒引擎的报警。

其中使用到的技术包括有:
*检查特定的注册表键值,如果发现是虚拟环境就停止执行
*检查视频,鼠标驱动,如果发现是虚拟环境就停止执行
*枚举系统服务列表,如果发现是虚拟环境就停止执行
*执行特定的汇编代码,如果发现是虚拟环境就停止执行
*检查特定的通讯端口,如果发现是虚拟环境就停止执行
*检查特定的进程名称,如果发现是虚拟环境就停止执行

在赛门铁克近期的一份介绍中,就有两个真实的例子。展示病毒如何规避自动检测系统。

1.鼠标使用检测


如图所示,SetWindowsHookExA API 函数调用了_main_routine子程序监视鼠标的通讯消息,如果检测到鼠标移动或者击键它就会运行,如果没有检测到恶意程序部分就静止不运行了。因为通常真正人在用的机器都会有鼠标操作,而往往自动分析系统就没有。
 

2.休眠进程


如图所示,这段代码运行DecryptCode子函数前,它会等待300秒,也就是5分钟,然后又再等待20分钟再去执行ModifyRegistry子函数,当执行完Network_main自函数后又等待20分钟。自动分析系统往往只会花很短时间在一个文件的分析上,这样的程序往往会被自动分析系统认为是安全的程序。
 
以往病毒作者需要较深的技术功底去检测虚拟环境,例如他们需要熟悉汇编代码,需要虚拟机的知识,需要CPU,内存管理知识。然而从上面两个例子里,都不需要太深的技术。可见将来病毒作者将会往这个方向发现,使用各种新的点子去迷惑自动分析系统。

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦