在某项单一防御的不可靠性测试中,使用四个由匈牙利Crysys实验室编写的自定义的恶意软件样本,对五个尚未命名的顶级先进威胁检测产品进行了测 试,结果恶意软件成功绕过了这些全球最好的威胁检测平台。其中最历害的恶意软件样本当属BAB0,研究人员称之为“霍比特人”,该恶意软件极其狡猾,可以 绕过每个威胁检测平台,通过图像密写的方式进行感染。
Crysys实验室的七名研究人员,在《APT攻击检测设备独立 测试 告》中写道,“霍比特人”可以尽可能的隐藏,并利用多个方法来避免检测。事实上,该测试用例只是模拟了拥有一般资源的攻击者对最先进检测工具的理 解,以及模拟恶意软件高级运作方式。比如,模拟组织化的罪犯针对高价值目标发起的攻击。
“霍比特人”是用C++编写的,并带有PHP服务器端。由于使用密写技术,所以从未在 络流量中检测到它。当用户点击图像后,才会通过脚本推送可执行文件,然后又通过混杂的HTML和JavaScript逃避沙盒检测。
当用户被诱使点击时,“霍比特人”病毒会快速隐藏命令、控制HTML中流量,发送包括目录遍历、文件传输、命令执行等类型的命令。
另外还有一个不太复杂的恶意软件绕过了这五个平台中的三个,其他普通的恶意软件都被这五个平台所捕获。
告称,这项研究的主要结论,就是恶意软件可以不费周折地绕过最新的反APT攻击工具。如果我们都能够开发出这样的样本,让这些尚处在开发阶段、实际上 还没有进行任何测试的工具产品无法检测得到,那么狡猾多端的攻击者们同样可能也能购买到这些产品,并且也可以开发出类似的甚至是更好的样本。懒得开发的攻 击者,则会等待该恶意软件的发布。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!