是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統

網路安全研究學者最新研究發現，Android即便安裝防毒軟體仍然容易受到各種惡意軟體的攻擊，這將帶來嚴重的風險，因為網路攻擊者會改進其工具即以更輕易地逃避分析。

惡意軟體手法

惡意軟體編寫者使用隱形突變(變形/混淆)來不斷開發惡意軟體的克隆，阻止基於簽名檢測器的檢測，這種克隆攻擊嚴重威脅到所有移動平臺尤其是Android。

與IOS不同的是，Android裝置上的應用程式可以從第三方來源下載，這增加了不知情使用者安裝未經安全驗證、外觀相似的應用程式的可能性，這些應用程式克隆了合法應用程式的功能，但其目的是誘使目標使用者下載帶有欺詐程式碼的應用程式，這些欺詐程式碼將竊取敏感資訊。

更重要的是，惡意軟體編寫者可以擴充套件這種技術，以開發具有不同抽象和混淆級別的多個流氓軟體的克隆，繞過防毒軟體並掩蓋其真實意圖。

為了測試和評估商業上可用的防毒軟體產品抵禦這種攻擊的彈性，研究人員開發了一個名為DroidMorph的工具，它允許Android應用程式(APKs)透過將檔案反編譯成中間形式進行“變形”，然後對其進行修改和編譯以建立惡意軟體。

研究人員指出，變形可以在不同層級上進行，比如改變原始碼中的類和方法名，或者改變程式執行流程(包括呼叫圖和控制流圖)的重要內容。

在使用DroidMorph生成的1771個變形APK變體的測試中，研究人員發現，17個領先的商業防毒軟體程式中有8個未能檢測到任何克隆應用程式，類變形的平均檢測率為51.4%，方法變形的平均檢測率為58.8%，所有程式中觀察到的主體變形為 54.1%。

被成功繞過的防病毒軟體程式包括Line Security、Max Security、DU Security Labs、Antivirus Pro、360Security、Security Systems、Go Security和LA Antivirus Lab。

傳統Android防毒軟體並不能做到萬無一失。但這種現象並不僅存在於這一系統中。Google也面臨同樣問題。2019年防病毒測試組AV-Comparatives在測試了Google Play商店中提供的250個防病毒軟體安全應用程式後，其中138個應用程式檢測不到30%的惡意軟體樣本，包括一些安全應用程式似乎也是假的。

防毒軟體”失職“還是惡意軟體太”狡猾“?

早在2014年威脅防護公司Damballa釋出的《感染狀態報告》中就指出了以預防為主的安全手段存在侷限之處。報告顯示，在提交檢測的第一個小時之內，防毒軟體產品會“錯過”近70%的惡意軟體。當再次掃描以鑑別惡意軟體簽名，僅66%能夠在24小時內被識別。防病毒軟體主要是透過對系統監控，防止病毒進入系統並對關鍵部位進行惡意改動，在病毒啟動前對病毒進行阻攔，在病毒侵入時進行截殺以實現對系統的保護。但對於針對性的繞過安全防護的惡意軟體來說，防病毒軟體形同虛設。

同時，隨著網路攻擊者攻擊手段不斷改進，一些惡意軟體利用防病毒軟體中存在的漏洞實施入侵，這也給網路安全防禦造成困擾。

DevsecOps助力應用程式自身”免疫“

DevSecOps包括創立一種安全即程式碼(Security as Code)文化，從而在釋出開發工程師和安全團隊之間，建立一種可以持續的，靈活合作的機制和流程，把在傳統軟體開發流程裡面最後由安全測試團隊把關掃描的安全工作，左移到整個軟體開發的全流程，從而降低應用在上線後出現的安全隱患，加強應用程式自身”免疫力“。

一般來說，安全程式碼的掃描主要分成靜態掃描，動態掃描以及互動式掃描。所謂的靜態掃描就是利用悟空 靜態程式碼檢測工具直接掃描程式碼的原始檔或者二進位制檔案，透過審查原始碼發現其是否存在程式碼缺陷及已知/未知的安全漏洞;動態應用安全測試是黑盒測試，測試這主要從外部進行測試，比如模擬駭客工具、滲透測試等一般針對Web應用程式;而互動式應用安全測試就是透過把安全工具的Agent嵌入到應用程式裡面，從而在測試應用程式的時候，這個安全程式碼能夠監控到應用系統的網路內容，堆疊等資訊，從而嗅探出系統在動態行為下的安全漏洞。

總結來說，悟空 靜態程式碼安全檢測能夠減少軟體自身系統漏洞，可以有效避免受到惡意軟體攻擊，同時也能降低繞過防毒軟體的惡意攻擊風險。