意大利薩尼奧大學(the university of sannio)的研究團隊iswatlab,證明了打造一個能夠規避殺軟的惡意程式有多麼容易。“編寫”一個新的惡意軟體,規避殺軟或其它防護軟體的檢測,這很難。但是,“制造”一個能夠躲避反惡意軟體解決方案的惡意軟體,卻很簡單。“編寫”和“制造”的差別就在于,後者一行代碼都不用編寫,隻需要點選一個按鈕。
薩尼奧大學的研究團隊iswatlab (www.iswatlab.eu),實作了一個轉換移動終端惡意代碼的引擎,能夠修改代碼的外部特征,而不影響惡意程式的行為。他們把這個工具命名為“惡意軟體清洗機”(malware washing machine)。該團隊研究的android系統惡意軟體轉換引擎,可以執行下列變換操作:
反彙編和重新彙編
重新打包
修改包名稱
重命名辨別符
資料編碼
間接調用
代碼亂序
花指令插入
複合變換
iswatlab團隊使用惡意軟體清洗機測試了57個著名的商業反惡意軟體解決方案。他們用這個工具修改了5560個惡意軟體,這些惡意軟體能被要測試的這57個殺軟檢測出來。在修改之後,大多數殺軟都無法檢測出大部分惡意軟體。
“基于特征的檢測算法在移動終端上是否有效?我們開發了一個架構,能夠對android應用程式進行細微的變形。接着,我們修改了現實世界中的惡意軟體(見https://www.sec.cs.tu-bs.de/~danarp/drebin/index.html),然後,将這些程式送出到 www.virustotal.com網站,為了知道轉換之前和轉換之後的檢測情況,我們在轉換之前和轉換之後,都會把每一個樣本上傳檢測”報告中這樣說到。
測試結果顯示,轉換之後,部分殺軟仍然能夠識别出某些惡意軟體是同一個家族,但占了很小的一部分。
在下表中,第一清單示殺軟,第二清單示被該殺軟正确檢測出來的樣本(轉換之前)的數量,第三清單示被正确檢測出來的樣本(轉換之後)的數量。”
結果顯而易見,殺軟無法識别出被轉換之後的惡意軟體(在可以識别出原始惡意軟體的條件下)。
轉換引擎的源代碼已經公開了,位址為https://github.com/faber03/androidmalwareevaluatingtools
iswatlab團隊的實驗的詳細結果見報告“利用惡意軟體混淆技術對抗殺軟檢測”
這個測試引起了關于對抗惡意軟體的能力的讨論,iswatlab團隊的專家無需編寫一行代碼,隻需要用一些常用的手段,就可以制造一個新的惡意軟體。
總結,打造一個能夠躲避安全解決方案檢測的新的惡意軟體,隻需要幾分鐘。将舊的惡意軟體放到惡意軟體清洗機中即可!惡意軟體清洗機可以在這裡擷取。
本文轉自d1net(轉載)
![查找算法之二分查找查找算法之二分查找[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)