規避防病毒軟體測試
入侵系統時遇到的最大障礙之一就是目標系統中的防病毒軟體。雖然並非所有系統都安裝了防病毒應用程式,但是必須假設系統中存在防病毒應用程式,他會向系統所有者發出警報,告知攻擊者正在採取行動。考慮到這一點,在此簡要介紹一下,如何應對這一問題。
可用於規避防病毒軟體檢測的方法包括:
從零開始製作自己的病毒
這種方法最耗時,但也是最有用、最可靠地將一個有效惡意軟體植入系統中的方式方法。如果完全從頭開始製作一個惡意軟體,只要足夠小心並進行大量測試,即可輕鬆繞過某個目標的防禦——防病毒軟體可能從未見過它,因而不會對其作出反應。
使用Evade等第三方程式修改惡意軟體包
使用Evade程式可以改變現有惡意軟體的大小和特徵,這意味著使其更難以發現。
修改現有的惡意軟體
實際情況是,在網際網路上可以找到大量以編譯後和未編譯形式存在的惡意軟體,利用後者,駭客可以獲得原始碼並建立某個現有惡意程式家族的一個新變種。如果做法正確,會得到一些不同的軟體,其差異大到足以被掃描器發現。由於大多數(如果不是全部)防病毒軟體都要部分依賴於一個己知病毒、蠕蟲和其他有害物件的資料庫,因此,有可能透過充分修改現有程式碼使其在庫中沒有匹配項,因而不會被檢測到。
使用病毒製作工具包
這些工具包只需要按下一個按鈕即可建立現有家族的變種。雖然這種方法非常簡單方便,但是使用工具有易於捕捉的缺點,從而導致它們規避現有檢測機制的有效性大大降低。
在將一個悉意軟體成功植入一個站點並執行後,它就可以執行其骯髒的工作。儘管規避是透過防禦措施的關鍵環節,但次要和額外的行動通常採用類似停用防火牆或反病毒/惡意軟體的方式,允許採取攻擊性強烈得多的行動。
此類操作之一是透過採用諸如netcat、Cryptcat甚至sbd(某種程度上它是一種netcat的克隆)等實用程式植入後門。
在製作惡意軟體過程中,規避防病毒軟體或在系統上安裝製作的後門的做法稱為隱蔽通道(covert channel)。
在使用惡意軟體時,應該瞭解隱蔽通道和公開通道的術語。兩者的區別在於,公開通道是設計好的,代表了使用系統或流程的合法或預期的方式,而隱蔽通道則以某種非預期的方式使用系統或程式。
在討論的這些方法中,隱寫術是一個被認為屬於隱蔽通道的方法。如果沒有經過仔細檢查,人們不會認識到影像、影片檔案或音訊檔案在其正常功能之外還攜帶有其他載荷(例如:人們認為一幅圖片應該包含視覺資訊和屬性,而不應該有其他東西)。
特洛伊木馬是另外一個很好的例子。特洛伊木馬的設計目的是,在傳送資訊或者接收從別處發出指令的同時,隱藏到視線之外。使用隱蔽通道,意味著資訊和通訊有可能繞過那些沒有針對感知和檢測此類行為設計或定位的檢測機制。
本作品採用《CC 協議》,轉載必須註明作者和本文連結