日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

近年來(lái)，企業(yè)組織為了應(yīng)對(duì)惡意軟件威脅采取了大量工作，但是，似乎每天都有新的惡意軟件樣本能夠繞過(guò)各種防護(hù)措施。這些層出不窮的惡意軟件從何而來(lái)?答案是惡意軟件變異。通過(guò)變異，攻擊者讓惡意軟件不斷“煥然一新”，從而逃避安全控制。

為定南等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及定南網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、定南網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

例如 REvil 或 DarkSide 這樣的組織會(huì)在其惡意代碼中放置“識(shí)別開(kāi)關(guān)”，用于檢查它所在設(shè)備上的語(yǔ)言是否為俄語(yǔ)或英語(yǔ)。這種策略造成了惡意軟件的“變異性”——同一段代碼可以在不同的計(jì)算機(jī)上進(jìn)行不同的操作，具體不同取決于操作系統(tǒng)版本、安裝的庫(kù)或語(yǔ)言設(shè)置。如果有人嘗試在三到四臺(tái)不同的機(jī)器上運(yùn)行相同的惡意軟件，可能會(huì)得到三到四種不同的操作行為。

惡意軟件變異性的廣泛性

雖然安全研究人員早就意識(shí)到惡意軟件的變異性，但很少有研究人員評(píng)估其廣泛性。為了解更多信息，馬里蘭大學(xué)帕克分校研究助理 Erin Avllazagaj 查看了 113 個(gè)國(guó)家/地區(qū)的 540 萬(wàn)臺(tái)真實(shí)主機(jī)中記錄的 760 萬(wàn)條惡意軟件執(zhí)行痕跡。結(jié)果發(fā)現(xiàn)，由于時(shí)間和設(shè)備不同而產(chǎn)生的這種變異性，可能會(huì)帶來(lái)令人不安的影響——企業(yè)安全人員不能簡(jiǎn)單地說(shuō)一個(gè)惡意軟件是木馬，即便它的行為確實(shí)很像木馬，也許在下一次執(zhí)行時(shí)它又會(huì)表現(xiàn)得像勒索軟件一樣。

有時(shí)，這些變化是無(wú)意的，因?yàn)閻阂廛浖o(wú)法正常運(yùn)行。我們更應(yīng)該關(guān)注那些有意的變化——當(dāng)惡意軟件被設(shè)計(jì)為“僅在正確的計(jì)算機(jī)或在正確情況下執(zhí)行某些活動(dòng)”時(shí)，那些不滿足這些條件的惡意軟件會(huì)表現(xiàn)出良性特征。像這種在大多數(shù)機(jī)器上看起來(lái)是良性的惡意軟件，很難被發(fā)現(xiàn)。一般情況下，國(guó)家資助的黑客組織會(huì)利用惡意軟件變異性的復(fù)雜性，實(shí)施攻擊活動(dòng)。但研究顯示，一些大規(guī)模分布的惡意軟件同樣使用了這些技巧。

Avllazagaj 的研究可以揭示惡意代碼的變異性，以幫助安全社區(qū)更好地理解這個(gè)問(wèn)題。Avllazagaj 表示：“我們憑經(jīng)驗(yàn)評(píng)估了惡意軟件發(fā)生了多少變化、其行為的哪些部分發(fā)生了變化，以及可以采取哪些措施來(lái)應(yīng)對(duì)這些變化。對(duì)此，防病毒供應(yīng)商正處于非常有利的位置，可以采取一些行動(dòng)進(jìn)行應(yīng)對(duì)?！?/p>

Avllazagaj 及其同事研究了幾種惡意軟件的行為，包括 Ramnit ，一種影響 Windows 設(shè)備的蠕蟲(chóng)，旨在竊取信息;以及 DarkComet RAT ，它也可以竊取密碼并截取屏幕截圖。通過(guò)分析 2018 年捕獲的 760 萬(wàn)個(gè)樣本，研究人員注意到大部分惡意軟件的變異性與文件創(chuàng)建和命名有關(guān)。研究人員稱， DarkComet RAT 在某些執(zhí)行過(guò)程中創(chuàng)建了注冊(cè)表項(xiàng)，而 Ramnit 有時(shí)會(huì)構(gòu)建很多互斥鎖( Mutex )，這可能是因?yàn)樗枰恢边\(yùn)行漏洞直至成功為止。

研究人員在一篇論文中寫(xiě)道：“對(duì)于至少 50% 的惡意軟件來(lái)說(shuō)，在一次執(zhí)行過(guò)程中觀察到的 30% 的操作不會(huì)出現(xiàn)在另一臺(tái)設(shè)備上。此外，一半的惡意軟件樣本在所有執(zhí)行過(guò)程中似乎只存在 8% 的共同參數(shù)?！边@再次證明，使用沙箱分析惡意軟件并不能提供全貌。當(dāng)安全專家想要查看特定樣本是否屬于特定惡意軟件家族時(shí)，僅在一個(gè)沙箱中執(zhí)行一次操作遠(yuǎn)遠(yuǎn)不夠。分析惡意軟件的安全專家需要使用多臺(tái)電腦捕捉不同行為。

研究人員表示，分析人員應(yīng)該在第一次收到惡意軟件樣本 3 周后重新執(zhí)行它們，以更新其行為模型。

為什么惡意軟件會(huì)改變行為?

復(fù)雜的威脅行為者，例如國(guó)家資助的團(tuán)體，有足夠的資源來(lái)創(chuàng)建自定義工具，這些工具在大多數(shù)設(shè)備上看起來(lái)都是良性的，并且只有在滿足某些條件時(shí)才會(huì)觸發(fā)。惡意軟件開(kāi)發(fā)者這樣做，主要是為了實(shí)現(xiàn)惡意軟件的隱蔽性和持久性。在大多數(shù)情況下，攻擊性很強(qiáng)的惡意軟件都會(huì)將“隱蔽性”作為一個(gè)重要考量因素。攻擊者一開(kāi)始都會(huì)先執(zhí)行一些小工具，因?yàn)榧幢闼鼈儽话l(fā)現(xiàn)或檢測(cè)到，替換這些小工具也要比替換完整的關(guān)鍵惡意程序容易得多。

不過(guò)， APT 組織并不是唯一使用這種策略的團(tuán)體。研究顯示，勒索軟件組織也在采用這種策略，通常勒索軟件被部署為第二階段的有效載荷。有些勒索軟件還會(huì)在執(zhí)行時(shí)檢查其環(huán)境，如果發(fā)現(xiàn)勒索軟件在測(cè)試環(huán)境或虛擬機(jī)中運(yùn)行，則拒絕執(zhí)行任何更改。勒索軟件組織還會(huì)部署虛擬映像來(lái)執(zhí)行其有效載荷以逃避檢測(cè)。

未來(lái)，我們可能會(huì)看到更多具有可變行為的惡意軟件在各行各業(yè)產(chǎn)生影響，國(guó)家資助的團(tuán)體和網(wǎng)絡(luò)犯罪分子也都在不斷磨練技能。為了應(yīng)對(duì)這種情況，防病毒企業(yè)正在密切研究這些群體，并采用廣泛的技術(shù)分析那些不同尋常的樣本，以便了解其微小細(xì)節(jié)。它一般通過(guò)將反匯編程序中的靜態(tài)分析與某些沙盒環(huán)境、虛擬機(jī)等相結(jié)合來(lái)完成。

這種分析不太可能因惡意軟件在不同環(huán)境中表現(xiàn)出的不同而受到阻礙——開(kāi)展逆向工程的人員無(wú)需執(zhí)行即可查看實(shí)際程序，因此他們可以探索代碼中的所有可能路徑。雖然這種方法很耗時(shí)，但它可以幫助回答一些難題，例如“惡意軟件如何生成文件名或注冊(cè)表項(xiàng)?”或“它如何生成所連接的 URL ?”

隨著勒索軟件團(tuán)伙和國(guó)家支持的間諜組織能力不斷升級(jí)，了解這些問(wèn)題和廣泛的惡意軟件行為將變得至關(guān)重要。這種知識(shí)將使組織更加警覺(jué)，以保護(hù)自身安全。

通過(guò)專業(yè)的網(wǎng)站建設(shè)開(kāi)發(fā)服務(wù),幫助企業(yè)打造獨(dú)特的品牌形象,提高市場(chǎng)競(jìng)爭(zhēng)力。成都網(wǎng)站開(kāi)發(fā),十年建站經(jīng)驗(yàn),讓您的網(wǎng)站更省心省時(shí),更省力我們更專業(yè),創(chuàng)新互聯(lián)為您提供更省時(shí)更放心的建站方案。

分享名稱：惡意軟件變異：改變行為以實(shí)現(xiàn)隱蔽性和持久性
文章URL：http://www.dlmjj.cn/article/dhsjgde.html