恶意文件对抗AI检测模型的反思

这个标题咋一看其实是很大的，涉及了两个不同的背景知识与门槛，AI与恶意文件，AI这里指的是机器学习领域（包含传统机器学习与新近的由神经网络延伸出的深度学习），依靠机器与算法学习到数据中的模式，然后实现特定的模型来解决特定问题。恶意文件指的是网络安全领域出现的媒介，涉及对恶意文件的分析与检测或发现，大部分的公开或内部安全事件中，恶意文件的出现频次极高，可以说恶意文件是我们与黑客“接触”的纽带之一。

在3月份的时候从公开报告中关注到银狐木马的趋势，随着这几个月出现大量的相关木马不免让人好奇，这背后到底是如何运作的？直到8月份才抽取了一些木马分析研究，得到了一些自己的想法，想法是基于历史的经验或遇到的木马，可能是会存在偏差的，纯粹是自己的一些笔记与心得。回到检测防御的领域，之前提过“世界上没有免费的午餐”，对于攻击者来说也是如此，当我们沾沾自喜通过低成本而获得较好效果的工具时，殊不知处于对立面的攻击者也同样会不甘示弱，逆向研究了对应的防检测手段。针对银狐木马以及个人了解到的算法模型的实现思路可以在不少的捕获样本中发现攻击者已经是往对抗AI模型系统的路径在前进，也就是俗称的强免杀策略或者说类似生成对抗网络。在银狐木马出现的数量与时间窗口上可以依据经验粗略推演出至少存在几千个相关木马在国内活跃，同时需要不少的基础设施，这些事成本表明需要与之匹配的收益才能继续投入这个攻击活动，这么多的木马表明受众目标也存在该数量。

于是乎，我们会想，这么多的攻击活动最终的目的是什么？联想到电信诈骗的投入产出比，不难想到，这是新一种牟利方式，从以往的大数据视角下的诈骗，到如今的小范围的精准网络入侵从而实现牟利（大部分是IM投递或者伪造的安装程序），主要追求量，量上来了，效益也会随之加大。

总结了下银狐木马的对抗策略：

1、对抗传统的哈希查杀与特征码，使用插入无关指令的方式。

2、对抗启发式查杀，利用攻击活动中采用多模块加载关联执行的方式绕过可疑行为检测，当然也会采用白加黑，因为这种方法从历史经验看性价比确实高。

3、对抗AI模型检测系统，通过多层加载与多文件关联组合执行的方式以及从代码逻辑或相关特征伪装成正常文件的策略来降低自身木马文件的可疑度。

4、对抗异常流量检测，通过采用国内云服务厂商的对象存储托管恶意文件或组建，因此很有可能相关的成员会在国外。

总体来说，多模块加载（也存在无文件加载执行）这些技巧经常被APT组织或有经验的团伙采用，可以简单从木马的执行与组成方式看出背后的银狐木马团队是懂安全的，且选择了性价比最好的策略。银狐木马把自己模拟成正常文件，绕过了全部的机器学习模型，通过将攻击载体进行分割关联执行来及降低整体的可疑度权重，从而继续绕过基于机器学习的AI检测模型。利用多态分发的机制实现特征码与基于启发式的杀软和机器学习模型免杀。关于背后的攻击者所在的地区，通过利用国内的服务与执法难度这点可以判断应该不在国内，而是在国外。

在国内几千个相关木马文件的出现表明背后存在自动化或半自动化输出框架或生成工具，这也表明背后的攻击者团伙是有相关开发与对抗能力的，与经常遇到的攻防演习活动中红队木马或团队的运作组成类似。有时候在分析过程中看到一些pdb路径字符串，例如我看到银狐的木马里有“绕过x60x64Releasetest.pdb”字符串，下意识感觉是个同行，因为个人习惯是很难注意的，x60的行话只有业内人才懂吧。

这么多的木马出现在国内用户的环境，那么具体免杀情况如何呢？因为传统的沙软引擎会存在滞后性，因此主要关注AI检测引擎，结果是基于机器学习的检测引擎全军覆没，通过对一些木马在VirusTotal的检测数据的统计发现免杀率非常高，因为分离执行的策略即使是分析人员手工分析也很难快速判断文件的信誉度。 

针对这种活跃且非常有攻防经验的黑产团伙，是不是就只能束手无策了呢？其实不一定，我们还可以再想想办法，这也是做好威胁检测系统需要面对的真实困难之一。

原文始发于微信公众号（OnionSec）：恶意文件对抗AI检测模型的反思