美国中央情报对计算资据的攻击与防御

美国中央情报对计算资据的攻击与防御

传统的特洛伊木马“免杀”技术主要用于对抗软件恶意软件的静态扫描。通常绕过杀戮来执行窃取信息的目的，如shell、敏感字段加密、动态函数捕获和虚拟机检测。而从此次维基揭秘网站披露的相关资料中,可以看到美国中央情报局在网络攻击中和杀毒软件的对抗。本文以本次涉密资料中杀毒软件相关的文档为原型,看看中央情报局是如何进行杀毒软件对抗的。1针对主流的恶意软件攻击,主流关注通常,恶意程序侵入电脑之后,为了隐藏其痕迹,动态链接库(dll)注入成为主流恶意程序的标配功能,因此杀毒软件对于dll注入的防御情况成为攻击者首要关注点,如下所示,可以看到中央情报局对于主流的一些杀毒软件dll注入方面的相关统计。(1)em权限保护针对dll注入的行为,当卡巴斯基(Kaspersky)运行在system权限时会对wininit.exe、csrss.exe和lsass.exe这3个系统进程进行保护,不保护svchost.exe进程和用户进程。但是,卡巴斯基的沙盒会对某些注入行为进行记录,因此建议攻击前最好关闭该沙盒。(2)基于沙盒的注入行为检测针对dll注入的行为,AVG杀毒软件会保护explorer.exe进程,通过沙盒检测相关的注入行为,但是当加载的样本存在大内存分配时(如恶意程序直接分配100MB的内存空间时),该沙盒会失效。(3)比特凡德针对dll注入的行为,比特梵德(Bitdefender)会保护explorer.exe进程。(4)恶意程序注入行为针对dll注入的行为,瑞星(Rising)会对explorer.exe的注入行为进行标记。针对上述杀毒软件的注入行为,中央情报局内部实现的绕过策略主要为以下3种方式:一是通过以创建的一个非挂起的隐藏窗口进程为目标进行注入;二是通过以创建的一个notepad.exe或cmd.exe的挂起进程为目标来进行注入;三是通过以创建的一个杀毒软件本身的程序的挂起进程为目标来进行注入(AVG、比特梵德和瑞星皆可以)。2恶意程序的发现启发式扫描是一种恶意程序检测技术,通过分析程序的结构和行为来发现恶意程序,不依赖传统的签名库。针对杀毒软件的启发式扫描,中央情报局的绕过策略如下:(1)avg防病毒软件对于AVG的启发式扫描,可以通过将木马名修改为setup.exe来绕过,该扫描会过滤掉此类exe文件。(2)比特凡德通过将资源的类型由RC_DATA修改为BITMAP,可以绕过比特梵德对资源的启发式扫描。3文件加密前后的熵值对比熵检测是通过计算文件熵值来判断该文件是否有恶意倾向,如一个文件加密压缩前后的熵值就有很大的差异。很多杀毒软件引入了熵检测。中央情报局内部针对小红伞(Avira)和F-Secure这两款杀毒软件熵检测的绕过手段如下。(1)被检测文件是否合法小红伞的熵检测是对加密和压缩的文件进行检测,通过计算出的熵值来确定被检测文件是否合法(熵为5%或更高)。针对小红伞的熵检测,中央情报局提出可以通过往二进制文件尾添加几个bit的以rar为开头的字符以实现绕过,如图1的实例代码所示。(2)加密和压缩文件检测F-secure也是通过计算熵值对加密和压缩的文件进行检测。CIA通过拷贝一个rar自解压的清单文件到恶意程序中,就可以实现对应的绕过。4特定防病毒软件除了以上通用的绕过杀毒软件技术之外,以下为中央情报局针对特定杀毒软件的绕过方式。(1)中央情报信息投放通过DriftingShadows投放的GravityTurn在运行之后会被AVG检测到(DriftingShadows和GravityTurn为中央情报局内部使用的投放工具和对应模块)。中央情报局相应的手段是通过进程掏空的方式对投放的GravityTurn进行启动。进程掏空即通过CREATE_SUSPENDED的方式以CreateProcess的方式创建进程,此时进程会挂起,通过NtUnmapViewOfSection、VirtualAllocEx、WriteProcessMemory模块往该挂起线程中写入恶意代码,之后使用GetThreadContext和SetThreadContext模块修改入口点,最后调用ResumeThread模块恢复进程运行,此时看着像是正常的合法进程,但是其实际执行的代码为写入的恶意代码。(2)文件拖放行为检测美国反病毒软件Comodo6.x的监控过程会对程序运行时的包类文件(io)进行监控,因此任何文件的拖放(drop)行为都会被监控。但是,该扫描引擎会忽略回收站,因此回收站会成为一个好的drop目录。Comodo6.x的引擎认为任何System权限的程序都是合法的。(3)认证系统认证瑞星通过校验证书来实现对程序的认证,但是这种行为是基于网络认证的,在断网的情况下,瑞星会默认信任自签名的软件,仅仅通过WindowsSDK自带的signtool进行检测。中央情报局则针对这一特性实施绕过机制。5策略性和改进手段综上,中央情报局对杀毒软件的绕过,大部分的方式都是通过杀毒软件设计时的部分缺陷来实现(可以认为是漏洞),一些新的扫描方式和检测手法会存在一些策略性的安全问题,从而导致恶意程序的漏检。同样,也可以看到一些杀毒软件的短板,如