恶意软件逃逸技术开始变得商品化,其数量和复杂度都在快速增长。某项研究中98%的恶意软件都使用了至少一种逃逸技术,1/3的恶意软件采用了6种以上的检测逃逸技术。另外还有Cerber勒索软件这种沙箱敏感的恶意软件,甚至能运行28个逃逸进程,运用28种迷惑安全系统以逃逸检测的技术。

网络钓鱼走恶意软件路线

安全人员和恶意软件开发者之间的关系类似警察与小偷,道高一尺魔高一丈的技术战术竞赛一直在进行。恶意软件的进化源远流长,“检测逃逸恶意软件”早已登录业界词典。恶意软件的出现还早于Web,早期的fork函数炸弹恶作剧和感染大型机的木马就是典型例子。到了1980年代,随着PC的出现,我们见证了第一款蠕虫、自加密病毒,甚至第一款勒索软件——以软盘传播。如今,检测逃逸型恶意软件战术甚至能分为26类,恶意软件已经进入“超逃逸”时代。

不过,“检测逃逸型网络钓鱼”倒还是个新鲜事物。用搜索引擎搜这个短语得到的结果可能只有“检测逃逸型恶意软件”的一成左右。但我们或许应该开始更多地考虑检测逃逸型网络钓鱼了。必须澄清的是:所谓“检测逃逸型网络钓鱼”并不是指狡猾的网络钓鱼用词、设计精良的电子邮件或钓鱼网站,或者其他什么社会工程技术;而是更具产品策略和技术水平的网络钓鱼基础设施隐藏技术,可以将Web站点等网络钓鱼基础设施从安全系统和网络钓鱼URL爬虫视野中隐身的那种。

网络钓鱼工具包昭示逃逸趋势

都不用深入“网络钓鱼即服务”增长的话题,从更直接的庞大网络钓鱼工具包次级市场上就能看到逃逸战术——这些工具包都是预先打包好的假冒Web页面压缩包,通常不到50美元就能下载一个ZIP压缩包。

逃逸战术或让检测变得困难的技术包括用AES加密整个网络钓鱼网站,或者编码网站标题以骗过网络钓鱼爬虫。基础战术分为两类:首先,阻止安全系统评估和看清网络钓鱼网站的真实本质——通过查看用户连接的IP或域名并阻止(或重定向)源于特定IP地址(或地址范围)的访问;其次,封堵搜索网络钓鱼网站的安全应用程序机器人或爬虫或其他用户代理的访问,比如Googlebot、Bingbot或Yahoo! Slurp。

87%的网络钓鱼在用逃逸技术

围绕网络钓鱼工具包的研究中,研究人员监测了判断用户后再决定是否显示网络钓鱼网站的文件或代码的使用情况。不同工具包产生的2,025个网站样本中,87%都用到了至少一种基本逃逸技术。最常见的方法是使用.htaccess文件,这是一个含有上述封堵或重定向功能的PHP脚本。

其中很多都专精于某一品牌,比如假冒 Office 365 登录页面,或者模仿PayPal或Dropbox页面。但也有很多是多品牌工具包,给钱就能挂载任意品牌的网络钓鱼页面。

今年的问卷调查中,网络钓鱼总被认为是数据泄露的首要原因和IT及安全人员的首要安全考虑。除非安全系统赶上检测逃逸型网络钓鱼的发展(从对攻防本质已变有更广泛的认知开始),否则网络钓鱼仍会是IT及安全人员的一大痛点。逃逸型恶意软件可以给检测规避型网络钓鱼挪点儿空间出来了。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。