“霍比特人”-- 干掉全球最好的威胁检测平台
作者: 日期:2014年12月15日 阅:2,017

1

在一次单一防御的可靠性测试中,4个由安全人员编制的恶意软件样本挑战5个全球最好的尚未上市的威胁检测工具。其中最厉害的恶意软件样本当属BAB0,研究人员称之为“霍比特人”,该恶意软件通过图像密写的方式进行感染,成功躲过每一个威胁检测平台,堪称“壮举”!

该恶意程序由匈牙利Crysys实验室的研究人员编写,他们在《APT攻击检测设备独立检测报告》中写道,“它(指霍比特人)尽可能的隐藏,并利用多种方法避免检测。事实上,该测试只是模拟了拥有一般资源的攻击者,对最先进的检测工具的理解,以及高级恶意软件是如何运作的。比如,模拟组织化的网络罪犯针对高价值目标发起的攻击。”

BAB0用C++编写,并带有PHP服务器端。由于使用密写技术,所以无法在网络流量中检测到它。当用户点击图像后,才会通过脚本推送可执行文件,并通过混杂模式的HTML和JavaScript代码逃过沙盒的检测。

当用户被诱使点击时,就会产生HTML流量,而“霍比特人”命令控制服务器的流量就隐藏在其中,发送包括目录遍历、文件传输和命令执行等命令。

另外还有一个相比而言不太复杂的恶意软件绕过了这5个检测平台中的3个,另外2个普通的恶意软件均被所有的平台捕获。

报告还表示,这项研究的主要结论就是,恶意软件稍作努力就可以绕过新型的防APT攻击工具。如果我们能够开发出这样的样本,让这些尚处在开发阶段的检测工具无法检测得到,那么狡猾多端的攻击者们同样也能购买到这些产品,并且也可以开发出类似的甚至是更好的样本。懒得开发的攻击者,则会直接等待BAB0的公布。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章