1. 多态恶意软件 - 相同但不同

看看像VirusTotal类似的任何公共恶意软件数据库，你会看到每天都有上传相同的旧的威胁。许多常见的恶意软件会被重新生成-有时候每隔几个小时就会重新生成一次-使用着完全不同的文件哈希值。某些恶意软件会根据本地设备参数来更改其内容，从而在每次运行时生成新的哈希。

什么是哈希呢？让我们来快速了解一下它是如何工作的。利用已知的恶意文件，防御者可以生成唯一的校验和，该校验和将标识该文件的副本，不管它的名字或位置，在任何系统上使用常用的实用程序类似sha和md5：

这曾经是一个好方法，但旧样本快速回收到传统AV将被视为"新"威胁的程度已达到如此巨大的比例，以至于基于散列的解决方案无法跟上。

攻击者很容易做到：添加到文件中的单个字节将更新生成的哈希值。这种修补的目的是打败基于签名的AV工具，而这些工具依赖于检测已知恶意软件哈希数据库的文件哈希值。

2. 高级威胁-如果不知道，则不会显示

许多AV工具已经认识到只检查签名的不足之处，并且已转向使用基于规则的扫描系统，通常是Victor Alvarez发明的YARA工具。YARA提供了对简单文件散列的改进，因为它允许扫描程序对文件内容进行多次测试。例如，可以创建一个规则，该规则不仅可以查找恶意软件中的某些固定字符串，还可以搜索正则表达式模式：

YARA规则是一个很好的前进，并且由许多AV解决方案部署，但有两个问题会使恶意软件很容易避免被这些规则检测到。

首先，与文件哈希一样，恶意软件作者可以确定引擎使用哪些字符串来检测，那么他便可以更改字符串以避免检测。一个真正的YARA规则如下：

在上面的例子中，那些不懂的人看起来会比较模糊，规则只是用十六进制编写的纯文本字符串。我们-和攻击者，当然-可以很容易的将它们转换城查看实际检测到的字符串，例如，在上图中高亮行的内容是：

其次，更多的问题是，这种技术依赖于在引擎中已经至少看到过一次恶意软件，以便对其分析并为其制定检测规则。这便意味着防护者总是比攻击者落后一步，有时几天的时间足以让攻击者在不被发现的情况下进入和退出它们的目标。

3. 恶意文档 - 当一个文档不是文档时

我们倾向性的认为文档是无害的格式化数据集合，是跟可执行文件和二进制文件非常不同的文件种类，它们能够在我们机器上运行的代码。但是，当文档在PDF文件中包含JavaScript等动态元素或在MS Office文档类型中包含宏和DDE等代码执行功能时，这种区别就变的模糊了。只要打开包含这些功能的文件，就会在文档加载后立即执行这些功能，从而导致危害。

有时，恶意格式的文档被用来利用公开的应用程序漏洞来实现代码执行，而不是依赖像宏这样的函数。此类文档依赖于程序中的编码错误，这些代码可能导致缓冲区和堆的溢出，那么通过嵌入式的shellcode写入多个内存位置的技术，来达到一个或多个执行攻击者代码。

Adobe Reader 和 Microsoft Office都是这类恶意文档的流行目标，因为它们是最常用的，至少，在前一种情况下，存在着反复出现漏洞的历史。

对于依赖签名的遗留AV解决方案，检测这些恶意文档很困难的原因有两点。只需要创建具有不同"常规内容"的文档，就可以轻松的改变文件的哈希值，甚至通过YARA规则进行扫描也可以通过简单的代码混淆来解决，如下例所示：

4. 无文件恶意软件 - 它没有被证明是真实的

当大多数人想到恶意软件时，他们通常会想到某种恶意文件被下载到他们的计算机上并开始造成损害或窃取个人信息。在过去的几年里，攻击者已经意识到传统的AV解决方案中存在着一个巨大的盲点：恶意进程可以在内存中执行而不会被AV扫描发现。

在过去的几年中，无文件恶意软件攻击变的越来越普遍，著名的例子包括 Angler,Duqu,Poweliks和WannaCry。无文件恶意软件的兴起很大程度上是PowerShell的出现和广泛使用。虽然JavaScript和PDF，Macros和DDE(如上所述)也已部署在无文件攻击中。

传统防病毒软件难以发现无文件攻击的原因是，它们通常会注入到可信的进程中，例如 PowerShell和rundll32.exe - 一个基本的Windows可执行文件，可以为其他程序加载共享代码的动态库。

5. 加密流量 - 安全的隐藏威胁

传统AV的另一个盲点是加密流量，由于来自谷歌和其他网站的压力，这已经成为大多数网站的标准。虽然https和SSL证书是帮助保护您与受信任网站通信的好方法，它们也像"帮助"一样保护攻击者的通信。

与普通网站一样，恶意行为者可以通过确保受害者和攻击者的命令与控制(C2)服务器之间的通信受到端到端加密的保护，从而隐藏自己的活动，不受检查。

最近的数据显示，将近一半的钓鱼网站现在都在使用安全https协议来屏蔽用户和许多安全软件。

参考文献：https://www.sentinelone.com/blog/5-common-cyber-security-threats-that-bypass-legacy-av/

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。