製造一款能繞開殺毒軟體的惡意軟體需要多長時間?

一群桑尼奧大學的研究人員最近演示了製造一款繞開反惡意軟體的惡意軟體是多麼的簡單。

要想「寫」一個能夠繞開反惡意軟體檢測和其他防護軟體的新惡意軟體並不容易，但是「製造」一款很容易。「寫」與「製造」的差異很微妙。後者並不需要寫任何代碼，只需要按下一個鍵。

桑尼奧大學（義大利） Iswatlab實驗室的研究人員值製造了一個引擎可以為手機惡意軟體提供八種變換形式：雖然代碼結構變了，但惡意行為的功能不變。這款工具叫作「Malware WashingMachine」（惡意軟體清洗機）。

研究人員為安卓惡意軟體開發的這款變形引擎可以提供下面8種變形：

1. 拆卸&重新組裝nn2. 重新打包nn3. 改變包名稱nn4. 重新命名標識符nn5. 數據編碼nn6. 調用指針nn7. 代碼重新排序nn8. 插入花指令nn9. 混合轉換n

The Iswatlab研究人員使用「惡意軟體清洗機」測試了57款知名的商業反惡意軟體解決方案。

研究人員在5560款惡意軟體上使用了它們製造的引擎，這些惡意軟體都曾被上述57種反惡意軟體識別並定義為惡意軟體。變形之後，絕大多數的惡意軟體避開了這些反惡意軟體的識別

「 那些基於簽名的監測演算法在手機環境下有效嗎？我們開發了一個可以對安卓應用的代碼做變換的框架。然後，我們對一個真實的惡意軟體做了變形，接著我們把它提交到了www.virustotal.com以測試變形前和變形後的惡意行為（每一個樣本我們都提交了變形前和變形後過程）」 報道中介紹道。n

測試中，只有極少一部分惡意軟體在變形之後依然被一些反惡意軟體識別出來。

在下面的表中，第一列代表反惡意軟體，第二列是變形前正確識別的惡意軟體個數，第三列（紅字）是變形後正確識別的個數。

「結果很令人吃驚，這些反惡意軟體識別不出這些變形後的惡意軟體（在變形之前識別得出）」。

這次測試引發了大家對限制製造惡意軟的能力的討論。Iswatlab的研究人員一行新代碼都沒有寫，只是改了改一些已知的有名的惡意軟體。

總結一下，製造一個不能被識別出的新惡意軟體，只需要幾分鐘——找一個老的，然後放進「惡意軟體清洗機」！

註：本文參考來源於securityaffairs

推薦閱讀：