标签:标志 浏览器 恶意软件 成熟 签名 Lastline 篡改 软件
如今的威胁环境只有一个特征:瞬息万变。
这种现象与互联网上的威胁总数量有关。许多报告指出,威胁源开发新威胁的速度要比安全人员处理它们的速度快的多。
仅在2015年的第二季度,西班牙安全公司 Panda Security 研究发现,互联网每天会产生2万3千个恶意软件样本。趋势科技公司则认为该数字能够达到100万。
Panda Security 公司的研究人员在其发布的报告中称,大多数新的恶意软件类型“属于以往软件的变种”,这表明威胁源正视图修改现有的样本,绕过反病毒解决方案。
这一观察结果并不令人惊讶。恶意软件作者们孜孜不倦地寻找绕过检测的新方法,用有创造性的方式访问敏感数据,牟取利润。因此,威胁源通常会将新技术添加进其软件作品,改进有效性和隐身性能。
高级恶意软件防护企业 Lastline 也充分认识到了计算机罪犯们的效率。该公司研究人员的任务是分析恶意软件行为,以洞察恶意软件开发行业的未来走向。
在过去的2015年,Lastline 公司发现恶意软件成熟化呈现出的三个标志:代码签名、更改浏览器设置和口令猜解***。
标志一:
代码签名
利用数字签名技术进行代码签名,可以帮助构建个体之间的信任关系。因此,恶意软件作者经常滥用代码签名,帮助其开发的软件绕过反病毒方案提供商的检测。
这并不意味着帮助非法软件获取有效签名非常容易。相反,威胁源面前有几个必须跨越的障碍。
首先,他们需要说服CA认证机构,为其颁发一份有效的证书。CA在该步骤中会要求验证公司的身份。这一过程可能会揭露威胁源的真实身份。
在拿到证书之后,恶意软件作者必须同意购买该证书,但前提是,如果他们签名的软件表现出恶意行为,证书可能会在任意时间被撤销。
Lastline公司研究人员发现的实际情况正好印证了这种预测:尽管签名数量有所上涨,但使用签名的软件主要是所谓的“潜在有害程序”(Potentially Unwanted Programs,PUP)。这种程序的危害没有恶意软件那么大,它们一般而言仅会骚扰用户;就算在最糟的情况下,也只是作为恶意软件的开路者。
得到签名的恶意/可疑软件数量百分比
另外,明显表现出恶意行为的软件拿到的签名数量并不多。这毫无疑问反映出软件作者在说服CA机构为其颁发证书方面遇到了挑战。
Lastline 并没有具体指出哪些CA曾给恶意软件颁发过证书。公司表示,全部知名CA都受到了影响。
标志二:篡改浏览器设置
去年,恶意软件表现出的另一个标志是篡改浏览器设置。
Lastline 研究了全部的主流浏览器:IE 、 Chrome 、 火狐 、 Opera 、 Safari ,并发现修改浏览器关键安全选项的恶意软件数量有所增加,与此同时,这些软件往往还会篡改与浏览器行为有关的注册表设置。
篡改浏览器选项的恶意软件数量百分比
大多数篡改浏览器的恶意软件往往还会更改代理设置。
这种***方式在2005年出现,当时,巴西的计算机罪犯首次将PAC文件用作恶意目的。该方式中最有代表性的是更改IE浏览器的AutoConfigURL注册表项。
来自土耳其、俄罗斯等地的***者现在可以使用恶意脚本,成功、定期、悄悄地冒充HTTPS连接,发动路过***。
研究人员还发现,***者使用ProxyBack等恶意软件,在未经合法用户许可的情况下将被感染系统变成代理。
标志三:口令猜解
Lastline发现的最后一个标志是恶意软件使用口令猜测的方式进行***。
恶意软件调用认证流程,使用常见的用户名及密码组合进行猜测,试图获取或提升权限。以下是常见的弱密码。
使用暴力破解的恶意软件百分比
需要强调的是,暴力破解并不是什么新生事物,也不仅适用于台式计算机。去年夏天,AppBugs公布的一项研究显示,53种移动应用容易遭到口令猜解***。这些漏洞使得来自iOS和安卓平台的6亿用户处于风险之中。
然而,得益于近期的几项进步,暴力破解***的数量仍在增长。比如:许多软件服务得到了加强,恶意软件更难利用漏洞,因此将目标瞄向了物联网、 WordPress这样的内容管理系统等其它领域。物联网产品在设计过程中通常较少考虑安全因素。
结论
Lastline公司的分析结果表明,恶意软件作者已经大幅改进了其作品。通过代码签名,威胁源可以保证软件能绕过大多数反病毒解决方案。如果软件还整合了潜伏等其它回避能力,其效果将更好。
恶意软件也可以篡改目标系统的代理设置,将所有浏览器流量导向***者控制的设备;或者通过暴力破解口令,提升本地权限。
通过了解这些标志,安全人员将意识到,如今比以往任何时候都更加需要信息共享。此外,这些标志也可以帮助下一代安全专家了解恶意软件的发展动向。
标签:标志,浏览器,恶意软件,成熟,签名,Lastline,篡改,软件 来源: https://blog.51cto.com/u_15127683/2833689
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。