黑帽大会后,现在安全人员关注最多的就是Rootkits。但是也不能因此而忽视其它威胁,一些恶意软件的编写者正利用其它有效的反检测技术来隐藏他们的恶意代码。来自于Mandiant公司的高级咨询者Harbour在这次会议上总结了这些可能被利用的技术。其中没有一种方法是新颖的,但是它们很少被记录。
其中一种方法,恶意软件的编写者利用进程感染的方式来避开侦察。Harbour在会后对Computerworld的记者说,这种技术就是在终端用户的系统的合法运行的程序中植入恶意代码。
对黑客来说有几种进程感染的方式可供使用。这类技术可以隐藏他们在一台电脑中的恶意行为的来源。同样的它们也能够绕过客户机上的防火墙和其它的安全防御设施,因为被感染上恶意代码的正常进程大部分还是很正常的,他说。
同样的道理,“一个非常狡猾的命名进程同样能够在监视器之下工作并且迅速的避开侦察,”Harbor在他的演讲中提到。这种想法就是在系统中植入恶意进程,然后通过对正常进程的细微的改变来隐藏自身的存在。Svchost.exe和spoolsv.exe进程是最容易被攻击的,因为它们的一些程序经常是在内存中运行。“多一个进程也不会被发现。”
另外一个被恶意软件编写者常用的方法是在受威胁的系统内存中直接运行恶意代码。这样做就直接增强了它的行为的秘密,因为这意味着恶意代码不会出现在会被侦察到的硬盘中,Harbor说。
利用这种技术要追溯到2000年的时候,那时是Windows-specific,Harbor在演讲中相随的白皮书中提到。这种技术包括在一种暂停的状态下执行一个程序然后用恶意代码重写。
例如,攻击者能够在暂停状态下执行notepad.exe(记事本)进程,然后用sol.exe覆盖它,导致Solitaire(跳棋)游戏呈现给游戏者的时候,看起来记事本程序仍在运行,他说。
Harbour说,相比于rootkits,这些技术使用起来更加方便并且更容易获得,因此对于企业来说是一种日益逼近的威胁。
网友评论