濫用惡意軟件檢測器文件處理過程中的弱點(diǎn)完成攻擊
引用:
Jana S, Shmatikov V. Abusing file processing in malware detectors for fun and profit[C]//Security and Privacy (SP), 2012 IEEE Symposium on. IEEE, 2012: 80-94.
研究內(nèi)容:
惡意軟件檢測器的文件處理過程中的弱點(diǎn)利用及防范思考
背景:
越來越多的殺軟入侵預(yù)防系統(tǒng)都被安裝在企業(yè)網(wǎng)關(guān)和郵件服務(wù)器谋国,基于云計(jì)算的惡意軟件檢測服務(wù)也越來越受歡迎冀宴,因?yàn)檫@樣可以更及時(shí)的提供檢測并且維護(hù)簡單,這就帶來了文件處理過程的不一致性:
- the discrepancies between the heuristics**(Heuristics就是指在入侵檢測中使用人工智能思想) **used by detectors to determine the type of the file and those used by the endhosts(利用主機(jī)與主機(jī)間分類器差異來更改文件類型)
- the discrepancies in the parsing of executables and applicationspecific formats between malware detectors and actual applications and operating systems attacks(利用檢測器和應(yīng)用系統(tǒng)解析器差異來更改文件結(jié)構(gòu))
本文所提出的Chameleon attacks和Werewolf attacks兩種攻擊方法屬于"語義差異"類攻擊的實(shí)例书幕,但其原理與其他攻擊方法不同埋同,且利用針對它們的檢測方法去檢測C和W無效
方法:
-
檢測器的文件處理過程
File processing in antivirus scanners
第一個(gè)步驟為CA涯保,第二個(gè)步驟為WA
- CA
- 將惡意文件隱藏于一個(gè)檢測器不支持的類型中
- 將惡意文件的類型偽裝成另一個(gè)檢測器可信的類型
- WA
- 對歸檔文件攻擊實(shí)例:錯(cuò)誤的校驗(yàn)碼/誤導(dǎo)性長度/多重流/隨機(jī)垃圾/符合多種格式的文件
- 對未歸檔文件攻擊實(shí)例:假字節(jié)序/空VBA項(xiàng)目名/錯(cuò)誤的壓縮復(fù)位間隔/繞過特定部分的簽名
- 對CA的防范
- 通過匹配多重類型并對全部匹配到的類型進(jìn)行處理來識別文件
- 將文件類型規(guī)范化
- 對WA的基于網(wǎng)絡(luò)的防范
- 創(chuàng)造一個(gè)更完美的解析器
- 不在檢測其中解析文件
- 對WA的基于主機(jī)的防范
- 按訪問掃描
- 將主機(jī)與應(yīng)用程序緊密集成
創(chuàng)新點(diǎn):
1.從文件處理過程入手即硼,發(fā)現(xiàn)兩種逃避檢測的方法
2.以矛攻盾汗唱,在實(shí)際測試中尋求防范方法
