对100,000 多个 Windows 恶意软件样本的分析揭示了恶意软件开发人员用来成功逃避防御、提升权限、执行恶意软件并确保其持久性的最流行技术。
恶意软件策略和技术
分析的恶意软件样本通常通过恶意电子邮件附件传递,其中包含启用宏的文档、Windows 快捷方式文件 (LNK)、ISO/VHD 容器和 MSI 安装程序。
现在令人惊讶的是,防御规避是迄今为止恶意软件最常见的策略,因为其有效性取决于安全解决方案和安全团队是否被阻止和/或注意到。
“主要防御规避技术]与代码注入、防御篡改、伪装和系统二进制代理执行相关,”Elastic Security Labs 的检测工程师 Samir Bousseaden指出。
目前流行的子技术包括:
-
DLL侧面加载
-
父级PID欺骗
-
滥用系统二进制代理
-
伪装成合法的系统二进制文件
-
使用恶意MSI安装程序
-
篡改Windows Defender
-
进程注入(合法系统二进制文件)和自注入
-
NTDLL 取消挂钩(绕过依赖于用户模式API监控的安全解决方案)
Bousseaden 发现,权限升级通常是通过访问令牌操纵来实现的。
通过特权系统服务执行、绕过用户账户控制、模仿可信目录以及使用易受攻击的驱动程序是流行的技术。
恶意软件通常是通过利用 Windows 的默认命令和脚本语言(PowerShell、Javascript、VBscript)来执行的,尽管“使用 Python、AutoIt、Java 和 Lua 等其他第三方脚本解释器的趋势略有上升” ”。
攻击者还喜欢滥用 Windows Management Instrumentation ( WMI )(一种合法的 IT 管理工具)来执行恶意负载。
为了确保恶意软件在受感染的 Windows 计算机上站稳脚跟,恶意软件创建者通常会这样做:
-
创建计划任务(使其在特定时间或指定时间间隔后运行)
-
使用注册表运行键或将程序添加到启动文件夹(以使恶意软件在用户登录时执行)
-
创建Windows服务(在系统上重复执行恶意软件)
洞察力有助于改进检测
Bousseaden 指出,虽然他们分析的恶意软件数据集大小有限,但工程师仍然可以利用这些发现来改进恶意软件检测。
他总结道,许多发现的行为与合法软件的典型行为相似,因此防御者应该结合对特定行为和附加信号的多种检测,以减少误报。
原文始发于微信公众号(河南等级保护测评):最流行的恶意软件行为和技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论