安全掃描工具始終都是惡意軟件的死敵,絕大多數(shù)流行的惡意軟件和病毒都可以被掃描出來(lái),然后將其從系統(tǒng)中剔除����。但趨勢(shì)科技的研究人員最近發(fā)現(xiàn)了一種不使用文件執(zhí)行的惡意軟件���,從而導(dǎo)致掃描工具很難檢測(cè)到它的存在。
成都創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括寧津網(wǎng)站建設(shè)�����、寧津網(wǎng)站制作����、寧津網(wǎng)頁(yè)制作以及寧津網(wǎng)絡(luò)營(yíng)銷(xiāo)策劃等。多年來(lái)��,我們專(zhuān)注于互聯(lián)網(wǎng)行業(yè)��,利用自身積累的技術(shù)優(yōu)勢(shì)�、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等����,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案���,寧津網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益���。目前�����,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到寧津省份的部分城市�����,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任����!
這種無(wú)文件式的惡意軟件只存在于內(nèi)存中�,并被直接寫(xiě)入目標(biāo)計(jì)算機(jī)硬盤(pán)的RAM(隨機(jī)存儲(chǔ)器)中。如去年8月份發(fā)現(xiàn)的POWELIKS就是這樣一種惡意軟件�,它能夠把惡意代碼隱藏在Windows注冊(cè)表中。
POWELIKS的高超感染手法被其他惡意軟件作者紛紛效仿��,趨勢(shì)科技于近日在博客上介紹了一種典型的無(wú)文件式惡意軟件“變身僵尸”(Phasebot)����。
脫胎于太陽(yáng)僵尸
“變身僵尸”不僅具備惡意軟件包(rootkit)的特性�,更重要的是它還擁有無(wú)文件執(zhí)行的能力,它與一個(gè)2013年的惡意軟件“太陽(yáng)僵尸”(Solarbot)擁有相同的功能���。此外����,“變身僵尸”還具備虛擬機(jī)檢測(cè)和外部模塊裝載功能。后者可以在受感染機(jī)器上添加移除功能���。
與“太陽(yáng)”相比����,“變身”十分強(qiáng)調(diào)隱密和逃避機(jī)制�。比如,在每次與命令控制器(C2)通信時(shí)��,它都會(huì)使用隨機(jī)口令加密與C2的通信�。而且,它還會(huì)檢測(cè)受感染設(shè)備上是否安裝了下列程序:
.NET Framework Version 3.5
Windows PowerShell
變身僵尸會(huì)查詢注冊(cè)表?xiàng)l目以找到特定程序
這兩種程序均為當(dāng)前版本W(wǎng)indows的默認(rèn)安裝程序��。當(dāng)檢測(cè)到這兩種程序時(shí)���,變身僵尸就會(huì)在注冊(cè)表中惡意軟件的位置建立經(jīng)過(guò)加密的惡意代碼鍵值:
· HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}鍵值Rc4Encoded32和Rc4Encoded64將存儲(chǔ)加密的32位和64位shell code���。之后,它會(huì)建立另一個(gè)名為JavaScript的鍵值,用來(lái)解密和執(zhí)行Rc4Encoded32和Rc4Encoded64�����。
如果在系統(tǒng)中沒(méi)有檢測(cè)到這兩種程序���,變身僵尸會(huì)在用戶啟動(dòng)項(xiàng)(%User Startup%)的文件夾中留下一份自身的拷貝��。然后利用應(yīng)用程序接口(API)完成一個(gè)用戶級(jí)別的rootkit����,以使躲避典型終端用戶的發(fā)現(xiàn)��。它利用NtQueryDirectoryFile來(lái)隱藏文件��,利用NtQueryDirectoryFile來(lái)隱藏惡意軟件進(jìn)程�。
在僵尸主的指揮下,變身僵尸能夠執(zhí)行諸如通過(guò)表單抓取器盜取信息��,DDoS攻擊����,自我更新,下載并執(zhí)行文件����,以及訪問(wèn)網(wǎng)址鏈接等常規(guī)動(dòng)作。
變身僵尸與Windows管理工具
變身僵尸之所以有趣就在于��,它使用Windows的內(nèi)置系統(tǒng)管理工具PowerShell來(lái)逃避安全軟件的檢測(cè)���,通過(guò)PowerShell來(lái)運(yùn)行它隱藏在注冊(cè)表中的組件��。Windows 7或更高版本的操作系統(tǒng)默認(rèn)安裝中都包括PowerShell�,另一個(gè)程序.NET framework 3.5也是如此�。
隨著Windows 7用戶的增加,變身僵尸的感染者越來(lái)越多�,利用系統(tǒng)的默認(rèn)管理工具擴(kuò)大自身,無(wú)疑是一種很好的發(fā)展策略�����。
無(wú)文件式惡意軟件的未來(lái)
將來(lái)會(huì)有越來(lái)越多的惡意軟件作者采取并適應(yīng)這種無(wú)文件的手法�,他們將不滿足于僅僅使用Windows注冊(cè)表來(lái)隱藏惡意軟件,他們還將使用其他復(fù)雜高端的技術(shù)實(shí)施惡意行為����,并無(wú)需在受感染的系統(tǒng)中留下文件。
對(duì)于一般用戶來(lái)說(shuō)�,這種無(wú)文件式惡意軟件是一個(gè)很大的安全威脅�����。通常用戶都被建議檢查可疑文件或文件夾��,但不會(huì)去檢查注冊(cè)表���,因此給這種惡意程序留下了可趁之機(jī)。
由于難于檢測(cè)��,因此也就難于移除����。對(duì)于安全廠商來(lái)說(shuō),它更是個(gè)挑戰(zhàn)����,尤其是那些主要依靠基于文件檢測(cè)方式的廠商,因此他們需要開(kāi)發(fā)新的檢測(cè)方法�����,比如行為監(jiān)控���。
原文地址:http://www.aqniu.com/tools/7425.html
網(wǎng)站名稱(chēng):會(huì)使用隱身大法的惡意軟件——變身僵尸
網(wǎng)站地址:
http://uogjgqi.cn/article/djcppip.html
