黑帽子预算已经成为企业常见的防守策略,在这种方法中,企业试图提高攻击者的攻击成本来减少攻击。同时,攻击者也在试图让企业付出更沉重的代价来收集攻击情报:从域名生成到更微妙的代码混淆,攻击者利用各种技术来提高企业检测攻击、分析恶意软件和收集情报的成本。
在黑帽大会上,安全服务公司CrowdStrike的高级安全研究人员Jason Geffner将会对最新的恶意软件样本执行终端到终端分析,来演示攻击者为提高恶意软件分析和识别难度所采用的一些最新技术。作为演示的一部分,Geffner计划发布一个工具来帮助分析师清除攻击者用来伪装其内部运作的垃圾代码。
Geffner表示,“当涉及混淆时,无论是混淆恶意软件还是出于DRM目的,这始终将是一场猫捉老鼠的游戏,采用混淆技术的人知道,给予足够的时间,研究人员将能够绕过混淆技术。”
Geffner在黑帽大会上将演示的恶意软件来自大规模定制攻击,可能是由犯罪组织创建,目的是从企业受害者抢去钱财和信息。该攻击使用了域名生成的算法(这种算法让企业很难切断恶意软件通信),并且加入了很多垃圾代码来加大分析工作的难度。
ThreatGRID公司首席技术官Dean De Beer表示,混淆技术的总体水平正在提高。对于一般的混淆技术,如果一个程序加密或封装太多,自动化系统会暗示该软件可能是恶意软件。但高明的混淆技术可以避免拉响警报,并且让企业更加难以对代码进行逆向工程。攻击者利用各种技术来加大分析工作的难度,同时,提高企业响应攻击的时间和成本。
Dean De Beer表示,“攻击者想方设法提高企业检测的难度,如果你遇到混淆代码,它采用的是自定义封装工具或者加密工具,你需要将其加载到调制器,设置断点,并试图找出加密代码。并不是每个企业都有人可以进行逆向工程,或者有足够的时间来进行分析。”
CrowdStrike分析的恶意软件使用了比合法程序多四倍的垃圾代码,CrowdStrike发布的工具能够自动地从恶意软件中清除这些垃圾邮件。虽然攻击者可能会迅速修改其工具和恶意软件来让自动化反混淆变得更加困难,但这会提高了攻击者的攻击成本。
他表示,“如果攻击者需要不断改变其攻击方式,这增加了他们的攻击难度,至少这能够在一定程度上缓解攻击。”然而,如果攻击者找到更好的办法来隐藏其代码以及让分析工具更困难的话,这可能导致企业很难获得关于攻击者工具和技术的情报。
De Beer表示,“随着时间的推移,攻击者的攻击将会被解码和解密,无论是通过动态还是静态的手段,但攻击者的目标是增加企业分析工作的难度,让这工作变得很困难,如果你不能扩展你的分析,并且,你不能扩展你的能力来产生可操作的内容和威胁情报,那么,攻击者就凌驾于你之上。”