未來檢測惡意軟體的方式竟是它？

對於檢測OS X系統上惡意軟體的方式，未來用的會是pattern和熱圖可視化的方法而不是在機器中加入相應的演算法。

來自荷蘭代爾夫特理工大學的畢業生Vincent Van Mieghem在周一時發布了一篇學術論文，描述了OS X系統中一個重複性的pattern可被用來檢測系統中是否存在惡意軟體。

從實驗概率上來說，Van Mieghem的檢測方法非常成功，檢測OS X系統上惡意軟體的成功率是100%，幾乎是0誤差。

這種方法是基於系統調用，Van Meighem使用手動序列分析和熱圖可視化來跟蹤調用軌跡，從而可以找出惡意軟體。原理是：正常的調用軌跡和有惡意軟體的調用軌跡是不同的。

Van Meighem在論文中說道：「我的方式是只提取惡意軟體系統調用的重複pattern，然後利用這些pattern鑒定是不是一個惡意的進程。」

Van Meighem在OS X 10.11.3 EI Capitan系統的虛擬機上測試了23種功能不同的惡意軟體，並且得到了它們的系統調用軌跡。得來軌跡後，他把每個惡意軟體的調用和數據點放到一個含有x軸和y軸的熱圖裡面，一眼便能清晰可見惡意進程有多次調用。

Van Mieghem還研究了OS X系統上早期發現的幾個惡意軟體，比如Flashback、2011年的Trojan、2014年的WireLurker。今年二月份，他研究調用pattern之後，又在OS X上發現了一些新惡意軟體，比如KeRanger木馬和Pirrit惡意廣告軟體，從而更加肯定了他研究的正確性。

Van Miehem提到：「大部分的惡意軟體對shell進程的系統調用都可以清楚的看到，系統調用的次數和與shell的交互是判斷惡意軟體較為準確的一種方式，但是在power users系統下數據會偏高，這是這種方式的缺陷。power users就是運行編譯器或者解釋器（比如Python 和JavaScript）的平台。因為這些平台允許二進位的調用，並且還會執行shell進程。」

Van Mieghem在周二接受Threatpost採訪時也強調了演算法的重要性，但他的研究是想找到一個不依賴在機器中加入演算法並且實用的檢測方法。耐用、可重複利用是他對自己研究技術的描述。

僅僅做簽名檢查來檢測惡意軟體是不充足的，將來的趨勢可能是演算法或探索式檢測方法。

雖然現在OS X系統上的惡意軟體並沒有Windows上的惡意軟體種類繁多，但是去年OS X上的惡意軟體數量是過去五年總和的5倍。

上周，Kaspersky Lab的研究人員發現了OS X後門程序的變種——Mokes，它可以捕捉聲音，屏幕快照，監測特定類型的文件，從而執行黑客們的惡意命令。

註：本文參考來源於threatpost

推薦閱讀：