文章主要介绍了在数字化飞速发展的时代,恶意软件攻击的趋势以及腾讯安全威胁情报团队如何利用反病毒引擎TAV对抗这些攻击。文章详细描述了终端场景和云上恶意代码态势,包括感染型病毒、钓鱼木马、后门、挖矿木马和Webshell等威胁类型,以及它们多样的传播方式。同时,文章还介绍了恶意代码的持续进化、Webshell攻防、钓鱼木马攻防等方面的情况。腾讯安全威胁情报中心的产品矩阵也提供了丰富的防御手段和多维度的检测识别技术,包括静态特征精准识别、语义维度的污点分析、动态虚拟执行和启发特征检测等。
在数字化时代,恶意软件攻击不可避免,腾讯安全威胁情报团队利用反病毒引擎TAV对抗这些攻击,建立了多维度检测识别技术,构建了抵御恶意代码的第一道坚固防线。
感染型病毒、钓鱼木马、后门、挖矿木马和Webshell等是当前终端场景和云上的主要威胁。这些威胁通过文件感染、漏洞利用、钓鱼攻击等手段传播,对系统和数据安全造成巨大威胁。
免杀技术是恶意代码持续进化的重要手段。腾讯TAV的Webshell检测模块结合传统特征、静态分析、动态行为分析,全方位检测各类Webshell,有效抵御Webshell类攻击事件。
提高警惕、使用安全软件、不轻信不明链接是防范Webshell和钓鱼木马攻击的有效手段。同时,腾讯安全威胁情报中心的产品矩阵也提供了丰富的防御手段和多维度的检测识别技术。
引言
在数字化飞速发展的时代,无论是身处各类终端设备的普通用户,还是在云端的业务服务,都不可避免地陷入恶意软件攻击的重重泥沼之中。在终端防护应用下,感染型病毒很难清除,钓鱼木马也因为狡猾多变非常棘手。其中,以“银狐”类钓鱼木马尤为突出,它凭借高度隐蔽的特性,犹如隐藏在暗处的幽灵,不易被察觉;这类木马不断推陈出新,以形形色色的新颖攻击手段,通过各种复杂的途径对用户展开精心的钓鱼攻击。同时,云上服务面临着形形色色的恶意威胁,诸如Mirai、Xorddos等臭名昭著的后门家族,潜入服务器窃取数据和信息;挖矿木马也在暗中活跃,非法占用资源影响服务的正常运行;还有Webshell后门攻击,犹如隐藏在城门漏洞中的刺客,随时准备给云端服务以致命一击。
面对日益增强且愈发复杂的恶意代码演化态势,腾讯安全威胁情报团队,利用反病毒引擎TAV(以下简称“腾讯TAV”)持续对Webshell和钓鱼家族进行深入分析与紧密的跟进,研究对抗这些恶意攻击的新颖手法,建立了多维度检测识别技术。技术涵盖了基于
静态
特征的精准识别、语义维度的污点分析——通过对恶意代码“语义脉络”的剖析寻找破绽、动态虚拟执行——在模拟环境中实时观察恶意软件的行为特征,以及启发特征检测等多种有效手段。这些多维度的检测识别技术,构建了抵御恶意代码的第一道坚固防线,为网络安全保驾护航。
1、终端场景,云上恶意代码态势
针对终端用户、云上用户的恶意软件攻击仍在持续,传统的感染型、恶意推广软件仍然活跃。同时银狐类的钓鱼攻击持续变化,对抗手段更加多样。
终端场景当前主要威胁类型
-
•
感染型病毒
:Virus.Win32.Tutu, Virus.Win32.Darkomet, Virus.Win32.Nimnul 等感染型家族仍然活跃。
-
•
钓鱼木马
:银狐等钓鱼家族持续活跃,对抗手法持续增强,钓鱼手法多变。
云上当前主要威胁类型
-
•
Backdoor后门
:活跃家族为 Mirai, Xorddos等,Xorddos 木马会将感染设备组成僵尸网络,攻击者可以利用这些设备发起大规模的 DDoS 攻击,导致目标服务器无法正常服务。
-
•
挖矿木马
:木马通过各种手段在云服务器上驻留并执行挖矿操作,消耗大量计算资源,从中获取非法收益。
-
•
Webshell
: php、jsp 类Webshell为主流,哥斯拉等 Webshell 生成工具使 Webshell 类攻击更加容易。脚本灵活的特点也对检测造成了巨大的挑战。
多样的传播方式
当前恶意软件主要传播手段为文件感染,云上系统服务一般通过漏洞利用,而终端用户则主要面临各式各样的钓鱼攻击。
-
•
文件感染
:感染型病毒的主要传播手段,感染代码寄生在可执行文件,文档文件,脚本文件内,通过文件下载,分发,聊天工具发送等传播。
-
•
漏洞利用
:云上服务被恶意病毒木马攻击的主要手段是弱密码,系统漏洞,应用漏洞。木马通过暴力破解,漏洞利用,攻击云上服务器,再进一步横向攻击其他机器。
-
•
钓鱼木马
:通过伪造成财务,常用工具软件钓鱼网页诱导用户访问下载木马,利用聊天软件,邮件等对特定用户发送具有诱导文件名的钓鱼文件。
2、恶意代码持续进化
安全软件和恶意代码的对抗从未停歇。免杀技术层出不穷。恶意代码免杀技术是指通过各种手段使恶意软件能够绕过杀毒软件和安全防护系统的检测,从而在目标系统中成功执行的技术。病毒作者也在持续更新免杀方法,躲避终端安全和云安全软件检测。
Webshell攻防
云上面临的对抗免杀能力最强的是Webshell类。WebShell不像二进制病毒,无需编译,可以直接以脚本形式运行,因此具有体积小、变形能力更强。简单的Webshell木马只一行代码。而通过函数加密编码,利用语言特性,拼接函数,利用回调等多种方法,可生成千变万化的Webshell。
一句话Webshell
参数字符拼接
借助加解密函
混淆变形
传统Webshell检测依靠脚本静态特征,但由于Webshell是纯脚本文件,语言多样,无需编译,灵活性高,通过语法变形、混淆绕过静态特征规则检测,令传统检测方法效果欠佳。
腾讯TAV的Webshell检测模块结合传统特征、静态分析、动态行为分析,三管齐下,支持主流脚本格式,全方位检测 PHP, JSP, ASP等各类Webshell。
TAV Webshell检测 整体方案
-
•
语义理解
:对代码进行词法语法解析,转化为 AST,再进一步转化为IR,最后在IR上提取控制流图和数据流图,用于污点分析。
-
•
污点分析
:将外界变量视为污点源,危险函数视 为污点汇聚点,在控制流图和数据流图上跟踪污点传播路径,判断污点是否汇聚。
-
•
静态脱壳
:基于传统脱壳技术,对已知的加密混淆方案进行专项处理,可以对市面上加密混淆进行“脱壳”处理。
-
•
动态污点
:动态污点技术,会监控样本中读取外界参数的行为,并将所有外界传入的变量 进行标记,对脚本中所有的变量传递和赋值的相关逻辑操作进行监控,实现污点传播的跟踪。
云上真实WebShell黑样本检测中,腾讯TAV的检出贡献率能达到99%以上。腾讯云主机安全产品(云镜)已全面接入腾讯TAV的WebShell检测能力,有效抵御腾讯云所面临的Webshell类攻击事件。
钓鱼木马攻防
终端场景下面临的最具挑战的就是钓鱼类木马,比如“银狐“木马家族。“银狐”持续活跃,以其高度隐蔽性和强大的破坏力而闻名。该家族病毒主要通过钓鱼邮件、社交媒体、假冒网站等多种途径传播。一旦目标终端被感染,运行权限即被黑客控制,最终造成终端用户的各类损失,如信息泄露、经济损害。
钓鱼木马常见运行流程
传播方式
文件免杀
