恶意软件是如何伪装的,这份报告给出了答案

VSole2022-08-04 17:41:46

恶意软件设计和部署的关键之处,在于将自己伪装成合法的APP,欺骗用户用户下载和运行恶意文件,以此感染目标设备和系统。为了更好地进行伪装,恶意软件制作者在设计之初就会使用各种技巧和方法。

例如将恶意软件可执行文件伪装成合法应用程序,使用有效证书对其进行签名,或破坏可信赖的站点以将其用作分发点等。

据免费的可疑文件分析服务安全平台 VirusTotal的数据,恶意软件的伪装技巧比我们想象的要大的多。VirusTotal根据每天提交的 200 万份文件编制了一份恶意软件报告,展示了从 2021年1月到2022年7月的统计数据,叙述了恶意软件的分布趋势,及其常用的伪装技巧。

 滥用合法域名 

通过合法、流行和排名靠前的网站分发恶意软件,威胁参与者可以避开基于IP的阻止列表,享受高可用性,并提供更高级别的信任。

VirusTotal 检测了Alexa 排名前1000个网站中的多个域,它们共下载了250万个可疑文件。其中恶意软件最多的网站是 Discord,它已成为恶意软件分发的温床,托管服务和云服务提供商 Squarespace 和亚马逊也记录了大量恶意软件。具体结果如下图所示:

【图:恶意软件分发滥用最多的域】

 使用窃取的代码签名证书 

还有一种伪装方法是,从公司窃取有效证书对恶意软件样本进行签名,这将大大提高其逃避主机上的AV检测和安全警告的概率。

在2021年1月至2022年4月期间上传到VirusTotal 的所有恶意样本中,签名的样本超过一百万,其中 87% 使用了有效证书。用于签署提交给 VirusTotal 的恶意样本的最常见证书颁发机构包括 Sectigo、DigiCert、USERTrust 和 Sage South Africa。

【图:恶意软件作者使用的签名权限】

 伪装成流行软件 

将恶意软件可执行文件伪装成合法、流行的应用程序在 2022 年呈上升趋势。

【图:将恶意软件伪装成真实应用程序的趋势】

受害者下载这些文件时认为他们正在获取所需的应用程序,但在运行安装程序时,他们会用恶意软件感染他们的系统。被模仿最多的应用程序(按图标)是 Skype、Adobe Acrobat、VLC 和 7zip。

【图:使用的应用程序图标是恶意软件的诱饵】

我们在最近的 SEO 中毒活动中看到的流行的 Windows 优化程序 CCleaner 是黑客的主要选择之一,并且其分发量的感染率异常高。

【图:被模仿应用的恶意软件感染率】

 隐藏在合法安装程序中 

还有一种经常使用的方法是,将恶意软件隐藏在合法APP的安装程序中,并在后台运行感染过程,真正应用程序在前台执行。通过这种方法,恶意软件可以避开一些不审查 PR 资源结构和可执行文件内容的防病毒引擎。

【图:带有恶意软件的合法安装程序】

根据 VirusTotal 的统计数据,2022年这种做法似乎也在增加,其中包括使用 Google Chrome、Malwarebytes、Windows Updates、Zoom、Brave、Firefox、ProtonVPN 和 Telegram 作为诱饵。

 如何保持安全 

在下载软件时,用户可以使用操作系统的内置应用程序商店,或访问应用程序的官方下载页面。对于那些在搜索结果中可能排名较高的促销广告,我们应该保持足够的警惕,因为他们看起来像是合法网站,欺骗性非常高。

下载安装程序后,用户还需在执行前对文件执行 AV 扫描,以确保它们不是伪装的恶意软件。

最后,避免使用 torrent 站点来破解受版权保护的软件或注册机,因为它们通常会导致恶意软件感染。

软件
本作品采用《CC 协议》,转载必须注明作者和本文链接
根据SecurityScorecard发布的《全球第三方网络安全漏洞报告》显示,2023年大约29%的违规行为可归因于第三方攻击媒介,因为许多违规行为的报告没有指定攻击媒介,所以实际比例可能要更高。MOVEit、CitrixBleed和Proself是2023年的软件供应链方面三个最广泛利用的漏洞,其中MOVEit零日漏洞产生广泛影响可能被归咎于第三方、第四方甚至第五方。
近日,以色列网络安全公司Seal Security宣布获得由Vertex Ventures Israel领投的740万美元种子轮融资,Seal归属软件供应链安全赛道,其研发的平台产品主要利用生成式AI为客户提供自动化的修复解决方案,其平均修复时间可从过去几个月缩短到现在的几个小时,足以以应对软件供应链这一日益严峻的挑战。
通过在开源软件包中插入恶意代码来迅速将恶意软件传播到整个软件供应链中是恶意分子常用的攻击手段。然而,最新的研究发现,如果用户等待大约14天后再将这些软件包更新到最新版本,就可以避免受到软件包劫持攻击的不良影响。
软件组成分析(SCA)应用程序安全测试(AST)工具市场的一个细分市场,负责管理开源组件的使用。SCA工具自动扫描应用程序的代码库,包括容器和注册表等相关构件,以识别所有开源组件、它们的许可证遵从性数据和任何安全漏洞。除了提供对开源使用的可见性之外,一些SCA工具还通过区分优先级和自动补救来帮助修复开源漏洞。SCA工具通常从扫描开始,生成产品中所有开源组件的清单报告,包括所有直接和传递依赖项。拥有
软件安全之CRC检测
2023-04-19 09:47:57
k++)//因为这里异或是从数据的高位开始,所以需要计算的数据左移8位,这里就需要计算8次。1)//判断最高位是否为1. 0xEDB88320;//最高位为1,右移一位,然后与0xEDB88320异或???相当于例子2中110与000异或值是不变的
基于各方在自身领域的专业积累,将此次调研工作进行了明确的分工,并将不定期进行调研分享交流会。
各类攻防演练的结果证明,软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则:合规是底线,管理是准则,制度是要求,技术是支撑,服务是保障,流程是协作。安全管理制度的建立,能够规范软件供应链涉及的内部、外部角色的行为,同时提供制度性保障。其次,针对软件开发各阶段与存在的风险,引入对应的安全能力,提供技术支撑,确保安全质量。
新推出的开放框架寻求为公司和安全团队提供全面且可行的方式深入了解软件供应链攻击行为及技术。这项名为开放软件供应链攻击参考(OSC&R)的计划由以色列软件物料安全管理公司OX Security主导,评估软件供应链安全威胁,覆盖一系列攻击途径,比如第三方库和组件漏洞、构建及开发系统供应链攻击,以及被黑或恶意软件更新包。
当下,软件开发安全的理念很火,各行各业都已认识到保障应用系统开发安全的重要性,但是要真正实现起来,结果却不是那么理想。
软件常见漏洞的解析
2022-11-28 10:16:06
理论基础漏洞可以定义为“在软件和硬件组件中发现的计算逻辑(例如代码)中的弱点,当被利用时,会对机密性,完整性
VSole
网络安全专家