聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
上传至“非分发扫描器”上的75%的恶意软件样本从未共享在多功能扫描器上如 VirusTotal等,因此这些恶意软件在很长一段时间内并未为安全公司和研究人员所知。
尽管有些杀毒产品最终将在运行时或某个时点检测到这种恶意软件,但它导致安全公司在追踪恶意软件活动时存在运营方面的理解差距。
多功能扫描器和非分发扫描器
多功能扫描器如谷歌 VirusTotal 等将杀毒扫描引擎集合到一个大熔炉中,能让用户上传可疑文件并同时在托管在该服务上的所有杀毒引擎进行扫描。
如果其中至少一个多功能扫描器的引擎发现该文件是可疑的,那么服务就会将结果分享到所有杀毒公司,供网络安全公司了解到自己的引擎目前无法检测出的恶意软件类型。
而非分发扫描器和多功能扫描器服务类似,只不过前者的运营人员会修改杀毒引擎导致它们无法将结果告知各自的供应商,从而限制了各公司对新型恶意软件的了解。
非分发扫描器在网络犯罪市场上非常受欢迎,而且多年来一直处于高需求状态。多年来一些服务出现又消失,有些是自己消失的,而有些是执法部门干预后消失的。
难以捕捉非分发扫描器数据
除了不和杀毒引擎厂商分享数据外,非分发扫描器还不对外提供 API 或开放数据。
因此,要想知道非分发扫描器上上传的和扫描的内容只能是拥有直接访问扫描结果的链接地址。只有当恶意软件作者在论坛、市场、Telegram 渠道、私有网站等地方广告推销恶意软件时,才能看到这类链接。
过去几年来,Recorded Future 公司一直在收集这些链接地址。在2018年1月1日至5月18日期间,安全专家收集了这些链接地址并比对了所扫描文件和多功能扫描器扫描的文件的 MD5 哈希值。只有25%的文件能从至少一款传统多功能扫描器中找到,而剩下75%的文件无法看到。在所检测到的25%的文件中,45%的文件是由非分发扫描器首先发现的,而55%的文件由传统多功能扫描器率先发现。
恶意软件作者掌握的信息更多
这种结果可做多方面解读。首先最重要的一点是,这一事实意味着多数恶意软件作者逐渐意识到他们不应该将恶意软件上传到多功能扫描器上,尤其是处在恶意软件开发周期中的开发过程和发布后阶段。
可能会发现杀毒引擎可能会完全获悉自己工具的恶意软件作者可能会在实际部署恶意软件时或开始分发恶意软件的几小时或几天后制定检测规则。
该结果也表明网络安全公司并无法解决所有的问题,而且创建好的杀毒引擎还不够。多数公司还需要组建一支机敏的威胁情报猎手团队以检测到这些链接可能分享结果的地址并增加检测未上传至多功能扫描器上的恶意软件的功能。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。