姓名:李欢洋 学号:16010110003
转载自:https://www.zhihu.com/question/68716133/answer/266673843?utm_source=com.jianshu.haruki&utm_medium=social ,有删节。
【嵌牛导读】:近期腾讯安全和谷歌VirusTotal的合作这可能会对电脑病毒造成毁灭性的打击。
【嵌牛鼻子】:腾讯安全,谷歌VirusTotal,电脑病毒,恶意软件。
【嵌牛鼻子】:你想了解腾讯安全和谷歌VirusTotal的合作之后的大动作吗?
【嵌牛正文】:
先说说VirusTotal,业内人士大多都知道,这是目前被国际安全圈、安全公司、安全从业人员广泛熟知并使用的一个可提供免费可疑文件分析服务的网站。聚集着全球知名老牌安全机构研发的数十个杀毒软件,拥有全世界最多的电脑病毒分析数据。使用者上传可疑文件、网站URL或域名,通过杀毒扫描后可疑判断检测目标是否被病毒、蠕虫、木马以及各类恶意软件感染。因为其专业性强及检测准确性高的特点,一直在圈子里具有很好口碑。
不过多年来,VirusTotal的服务主要是使用杀毒引擎对用户提交的可疑文件进行静态扫描,不能执行文件,那么就容易忽视了现代恶意软件检测的一个重要部分——行为检测。
行为检测这种技术,在安全软件客户端产品上,更多的是以「主动防御」或类似的概念为人们所熟知。简单来说,就是对文件的动态行为进行检测,在其做出可疑行动的时候进行预警,并对其进行隔离等处置措施。由于检测和判定的时机发生在文件进行可疑行为的时候,这种方式的准确率是有较高的保障的。并且对于一些加壳或者混淆严重、无法提取静态特征码的样本,行为检测技术是检测文件恶意属性的一种非常有效的手段。
不过对于VirusTotal这种网页服务而言,是无法直接获取样本的真实动态行为的,只能退而求其次,使用沙箱等虚拟环境执行样本,检测样本在沙箱中的动态行为。之前,VirusTotal会使用一个知名的开源恶意行为分析沙箱——cuckoo sandbox对一部分样本进行动态行为分析,并将行为展示在behavior information中,但动态行为并未参与样本的恶意属性判定。
随着虚拟技术的不断发展,除了cockoo sandbox之外,安全行业的分析人员也开发了其它的恶意行为分析沙箱,并且在不同的网站上得到了验证,例如JoeSandbox,Falcon Sandbox(用于Hybrid Analysis网站),以及腾讯的哈勃分析系统(https://habo.qq.com/)。然而,这些不同的沙箱此前并未整合到VirusTotal的服务体系中去,这不得不说是一件令人遗憾的事情。
VirusTotal完善平台服务,正式接入腾讯反病毒实验室哈勃分析系统
基于对服务的进一步完善,VirusTotal近日推出了多沙箱聚合服务malware analysis sandbox aggregation,内部项目代号为multisandbox,这个功能整合了安全合作伙伴的动态沙箱分析能力,即通过在沙箱的受控环境中,运行文件并检测可疑文件的具体行为,包括文件的读写行为、注册表的访问行为、网络的传输行为、在什么情况下引发感染和传播等。与多引擎扫描的思想类似,通过多个沙箱的动态分析结果,用户可以对文件安全性有更加全面且精准的判断,并且后续还可以根据多个沙箱的动态行为对文件的恶意属性进行综合判定。而我们反病毒实验室哈勃分析系统成为了全球首家接入VirusTotal的动态分析系统,这也是全球首例与VirusTotal达成的动态分析合作。
我们的优势:
想要说明我们的哈勃系统有什么优势,先要对动态分析原理有大致了解。实际上,动态分析是一件复杂的事情,会扫描成千上万的文件,在仿真的环境执行它们,捕获和检查所有的动态特征,动态分析模型的精准性主要体现于二个方面:
环境模拟:丰富的运行环境以适应不同恶意软件环境的差异
不同的软件,对于执行环境的要求可以有巨大的差别。除了Windows系统(PE格式)、Linux系统(ELF格式)、Android系统(APK格式)这样粗略的划分之外,即使同样是在Windows系统上运行的软件,有的对操作系统的版本有要求(如只能在Windows7上才能运行),有的对安装的软件有要求(如一些盗号木马只有检测到QQ正在运行才会执行盗号行为),还有的对运行条件有要求(如只在联网条件下运行)。这些复杂多变的运行条件需要沙箱在进行环境模拟时逐一考虑。
沙盒系统仿真:仿真度高,不被恶意软件检测出差异性
如果说恶意软件对抗静态引擎的方法是加壳和混淆,那么其对抗沙箱的主要方法就是仿真环境检测。攻击者会想方设法从运行环境中寻找沙箱与真实环境存在的差异的蛛丝马迹,例如特定的文件和注册表项,特定的API执行结果的差别,甚至是特殊的汇编指令带来的差异。而为了躲避恶意软件的检测,沙箱的开发人员需要了解恶意软件的检测策略,并在沙箱的运行过程中对这些检测行为进行针对性的防御,这是一个需要长期积累并在攻防对抗中反复检验的工作。
基于上述条件我们来看哈勃的优势。首先,腾讯哈勃分析系统具有丰富的环境仿真、虚拟执行和深度分析能力,能够根据不同软件的需求提供针对性的运行环境,这其中还包括针对ELF格式的样本独家提供Linux系统执行环境和动态运行结果,这一点也得到了VirusTotal的好评。同时,哈勃分析系统积累了对抗沙箱检测的丰富经验,可以引诱和触发样本尽可能多地执行动态行为,获取完整的恶意行为展示和全面的行为分析报告,这将进一步提升分析结果的质量和价值。
另外,哈勃分析系统拥有从海量数据中提取威胁情报的能力,每天能够自动识别多达千万的恶意文件和攻击,此次与VirusTotal合作,哈勃分析系统接入的动态分析日志,为文件分析结果补充了大量有价值的数据,可以辅助用户更直观的了解样本的恶意行为,从更丰富的维度对样本进行判定。
这些技术研发方面的突出优势,已经得到了国际安全领域的权威认可和关注。今年3月Black Hat Aisa 2017(亚洲黑帽大会)上,腾讯安全哈勃分析系统开源项目HaboMalHunter入选Black Hat Arsenal(兵器谱),这不但是本届Black Hat唯一入选的中国开源项目,也是中国开源项目第一次「亮剑」世界反病毒舞台。此外,哈勃分析系统还曾在国际反恶意软件领域年度盛会——VB2016、VB2017上连续亮相,与卡巴斯基、赛门铁克、McAfee、ESET等国际顶尖安全厂商的同台展出中,受到在场安全专家的广泛关注。
网友评论