CIA反取證及殺軟對抗與繞過技術匯總

一、CIA為了防止其間諜工具/攻擊武器被發現、被逆向分析,深入研究了各種反取證的技術。其中包含針對可執行文件(ELF、PE、Match-o或者其他二進位文件)反取證、網路通信過程中的反取證、系統IO數據操作的反取證、時間軸反取證以及個人安全產品和殺毒軟體的反取證技術。如:

1.針對可執行文件的反取證分析技術有:加密或者混淆所有間諜工具中與功能相關的字元串和數據、使用解密用後加密、刪除敏感數據(加密密鑰、原始數據的採集、shellcode、內存數據等)、多種加密演算法混合使用、反調試反逆向工程技術的使用等等。

2.針對網路傳輸數據的反取證方法有:所有網路通信使用端對端加密、利用中間人攻擊和已經公開披露的協議缺陷、不要僅僅依靠SSL / TLS來保護傳輸中的數據、保證網路數據單次傳輸的完整性、用自定義協議來對付網路數據分析工具和IDS過濾器、防RFC協議數據報文出現異常、提高了網路分析的難度和減少網路活動的關聯性(網路通信中發送數據報的大小和時間都盡量隨機等等

3、針對I/O操作相關的反取證方法:對工具使用者進行風險評估及目標系統文件系統取證的知識培訓、減少操作痕迹盡量不進行不必要的文件讀寫或做磁碟數據緩存、不已明文數據存儲於磁碟、用後文件的時間戳及數據內容清理等等,同樣具有嚴格的IO操作規範以避免用戶和系統管理員的懷疑、所有文件格式中存在特殊簽名、避免文件名和路徑固定、工具收集任務時可能發生的失控情況或者填充目標磁碟的情況等。

4.針對日期和時間的反取證方法:

1)、對所有工具中所有日期和時間的操作提供一致的方式。 使用格林威治時間/星期/時區來比較日期/時間。

2)、保持工具中日期和時間的一致性,避免與美國的關聯。不要使用美國為常用的時間戳格式如mm-dd-yyyy。

5.針對PSP/AV的反取證方法:

1)、將所有PSP/AV產品的每個每個版本每個型號做所有可能的測試。

2)、PSP/AV產品檢測連接到互聯網時, 表現出行為差異,我們要測試所有可能的情況下的實時互聯網連通測試。

二、同樣CIA為了更加隱蔽的感染到目標系統中、增強對抗殺毒軟體和安全工具的能力、並提高間諜工具適應能力、存活時間。對眾多知名殺毒軟體進行過深入的分析並且研究出多種繞過、終止、欺騙檢測引擎的方法。包括終止引擎進程、回收站漏洞、用光沙箱時間、白名單進程欺騙以及對抗熵檢測技術等技術。

1. 十多種結束進程方法的研究:比如注入shellcode,使其調用CreateProcessW的函數時,將參數lpCommandLine設置為常量字元串,導致進程崩潰退出、枚舉進程內的句柄並使其關閉,令程序隨機異常退出等;

2. 將程序中的資源類型從RC_DATA修改為BITMAP。而繞過Bitdefender對資源的掃描查殺。

3. COMODO6.X版本,不對System運行的進程進行窗口和文字的監控;

4. Comodo會忽略回收站中文件掃描,將病毒放到回收站可繞過查殺;

5. 通過將.exe重命名為常見的安裝程序名稱(如setup.exe)來避免AVG的啟發式檢測;

6. 將清單文件copy到RAR的自解壓程序中,注意清單的資源類型為24 ,資源數為1 ,資源語言為1033。這種方式可以同時繞過F-Secure和Avira的熵值檢測;

7. 將一個RAR 簽名與幾個位元組的數據添加到任意位置的二進位來實現對熵檢測引擎的混淆;

8. 通過檢測滑鼠點擊事件後再執行惡意功能,來繞過沙箱缺少交互的漏洞;

9. 在斷網的情況下,可繞過瑞星的簽名校驗;

10.惡意軟體作者將調用一個無意義的函數,執行某種需要一段時間來完成的任務或計算,然後再執行任何惡意動作,從而用光樣本在沙箱環境中的分析時間,逃避行為追蹤;

11. 通過掛起啟動白名單進程,注入其自己的惡意代碼後再恢復進程,而繞過PSP的檢測;

12. 通過OutputDebugString的異常處理來識別調試器;

13. 通過將API的部分代碼反彙編後copy 到shellcode中運行一部分後再跳回原始的後續地址,來繞過卡巴斯基的行為檢測引擎;

14. 通過枚舉Windows對象來獲取包含系統的主引導記錄(MBR )的原始磁碟的讀/寫句柄;

15. DLL注入 (細節尚未公開)

16. AVG釋放緩存文件,並通過鏈接來執行(細節尚未公開)

附件:CIA深入研究的安全軟體幾乎包含主流的所有殺軟及安全工具,如下:

Comodo

Panda Security

PSP Process Names from DART

Norton

Avast

Malwarebytes Anti-Malware

F-Secure

EMET (Enhanced Mitigation Experience Toolkit)

Zemana Antilogger empty

Microsoft Security Essentials

Zone Alarm

McAfee

Trend Micro

Kaspersky

Symantec

GDATA

Rising

ESET

Avira

ClamAV

AVG

Bitdefender


推薦閱讀:

請問怎樣才可以找到黑客大神?
10月12號的黑客大戰是怎麼回事?
罵人也是言論自由嗎?
如何理解 Norse 網站顯示的實時網路攻擊?

TAG:YearZeroCIA黑客计划 | 网络攻击 | 杀毒软件 |