聚焦源代码安全,网罗国内外最新资讯!
网络安全公司 Checkpoint 发布了关于恶意软件规避分析的技术百科。
该百科涵盖的规避技术与以下方面相关:文件系统、registry、通用 OS 查询、全局 OS 对象、用户界面工件、OS 功能、进程、网络、CPU、固件表、hooks、硬件和专门的 macOS 沙箱。
Checkpoint 同时计划增加和如下领域相关的恶意软件规避技术:时序 (timing)、Windows ManagementInstrumentation (WMI)和类人行为。该公司还创建了专门的 GitHub 页面 (https://github.com/CheckPointSW/Evasions),供专家提交自己的贡献。
每个规避类别包括技术说明、代码样本、用于使用该技术的签名建议、关于显示可被检测到的环境类型的表、以及相关对策。
能够展示这些规避技术的多款工具已以开源形式公开。不过Checkpoint 公司也发布了相关开源工具 InviZzzible (https://github.com/CheckPointSW/InviZzzible)。
网络安全公司通常使用自动化解决方案来分析恶意软件样本及其行为,而恶意软件开发人员变得越来越擅长分析这种虚拟环境类型。
很多恶意软件旨在或者在分析环境中完全停止运作或者以异常方式运作。而防御人员不得不改进其分析系统,从而诱骗恶意软件认为它正在正常设备上运行。
具体可见:
https://evasions.checkpoint.com/
https://www.securityweek.com/checkpoint-creates-encyclopedia-malware-evasion-techniques
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~