Invincea的安全研究人员已经测试了专注于内嵌在恶意软件中自动分析系统的有效性。
恶意软件创建者通常会利用桌面图标以及多种类型的图像引诱用户。他们利用PDF图标伪装成无害文档引诱用户打开恶意可执行文件便是一个很好的例子。
Invincea的这个研究项目是DARPA(美国国防高级研究计划局)关注新型恶意软件分析项目的一部分,研究人员已经演示了一个旨在分析内嵌在 恶意软件中的自动系统能够提高威胁检测率,并且能够帮助研究人员理解新的恶意软件如何引诱用户,以及识别出某个威胁背后的黑手。
研究人员Alex Long在黑帽大会上公布了研究成果,并表示“通过使用恶意软件中的图像来分析样本让恶意软件作者位于一种‘进退两难’的处境,因为图像是恶意软件控制用 户的重要组成部分。我们会告诉恶意软件作者‘你可以继续使用图像来增加诱骗用户的成功几率,但我们也能让图像为我们所用,更容易地检测到并理解你的恶意软 件’。”
Long认为图像分析应该成为恶意软件分析的新方法。Long表示在DARPA200万个恶意软件样本中,超过一半的样本至少内嵌有一个图像。
恶意图像的自动分析有两个主要阶段:识别出使用可视化类似图像集的恶意软件样本,以及将图像分类(如虚假反病毒、安装程序、与游戏相关的威胁)。对 于第一步来说,Invincea依赖一种名为“平均哈希(Average Hash)”的技术,该技术能够将图像降为灰度模式、伸展或压缩至某个大小、提高对比度、并将其转变为一个二进制向量。获得一个平均像素值之后,哈希就会 通过比对每个像素与平均值来生成。这就允许分析系统有效比对恶意软件图像与已知图像集,而且不考虑它们的对比度、灰度或配色。
这种恶意软件图像的分类依赖于谷歌图像搜索API以及用户定义的查询。Long解释称,“对于图像分类来说,我们使用谷歌图像搜索结果来获取代表不同语义类。比如如果你想要训练一种IE图表的数据,你就会通过某些高级搜索设置搜索’IE’并且将结果缩小至仅剩图标。”
对于某些测试分类来说如虚假word处理器,研究人员得到了非常好的结果,但在其他分类中,恶意软件图像被错误分类且错误率甚高。
Long表示研究的目的是将分析进程完全自动。不过他指出要想将图像分析整合成商业解决方案,需要改善系统的整体准确度。Long指出,这项研究的主要目标是将数据公布给安全社区,而且他们证明了这个概念有发展潜力。