滥用恶意软件检测器文件处理过程中的弱点完成攻击
引用:
Jana S, Shmatikov V. Abusing file processing in malware detectors for fun and profit[C]//Security and Privacy (SP), 2012 IEEE Symposium on. IEEE, 2012: 80-94.
研究内容:
恶意软件检测器的文件处理过程中的弱点利用及防范思考
背景:
越来越多的杀软入侵预防系统都被安装在企业网关和邮件服务器,基于云计算的恶意软件检测服务也越来越受欢迎,因为这样可以更及时的提供检测并且维护简单,这就带来了文件处理过程的不一致性:
- the discrepancies between the heuristics**(Heuristics就是指在入侵检测中使用人工智能思想) **used by detectors to determine the type of the file and those used by the endhosts(利用主机与主机间分类器差异来更改文件类型)
- the discrepancies in the parsing of executables and applicationspecific formats between malware detectors and actual applications and operating systems attacks(利用检测器和应用系统解析器差异来更改文件结构)
本文所提出的Chameleon attacks和Werewolf attacks两种攻击方法属于"语义差异"类攻击的实例,但其原理与其他攻击方法不同,且利用针对它们的检测方法去检测C和W无效
方法:
-
检测器的文件处理过程
File processing in antivirus scanners
第一个步骤为CA,第二个步骤为WA
- CA
- 将恶意文件隐藏于一个检测器不支持的类型中
- 将恶意文件的类型伪装成另一个检测器可信的类型
- WA
- 对归档文件攻击实例:错误的校验码/误导性长度/多重流/随机垃圾/符合多种格式的文件
- 对未归档文件攻击实例:假字节序/空VBA项目名/错误的压缩复位间隔/绕过特定部分的签名
- 对CA的防范
- 通过匹配多重类型并对全部匹配到的类型进行处理来识别文件
- 将文件类型规范化
- 对WA的基于网络的防范
- 创造一个更完美的解析器
- 不在检测其中解析文件
- 对WA的基于主机的防范
- 按访问扫描
- 将主机与应用程序紧密集成
创新点:
1.从文件处理过程入手,发现两种逃避检测的方法
2.以矛攻盾,在实际测试中寻求防范方法
