网络犯罪分子正在使用“平庸的”防御功能和规避技术来构建恶意软件,这使安全研究人员的检测和分析工作变得更加困难。同时,新的攻击正威胁着嵌入式系统和笔记本电脑、智能手机及其他设备中底层硬件的安全。
在拉斯维加斯举行的2012年黑帽简报中,研究人员将与大家分享对下一代恶意软件和黑客技术的看法。其中有三个特别会议,将突出安全工程师在分析恶意软件面临的越来越大的挑战,以及攻击者用于逃避检测的不断增加的攻击方法。
米兰理工大学助理教授兼研究人员Stefano Zanero表示,恶意软件编写者开始侵入大多数系统的底层软件来避免安全软件的检测。在黑帽大会直播预览中,负责恶意软件主题的Zanero解释了为什么一些对新兴威胁的研究会困扰信息安全社区。
Zanero表示:“虽然我们总是说恶意软件可以通过这样或者那样来避免检测,但我们很想知道,大规模恶意软件开发者能在何种程度上避免被分析。”
黑帽2012中,Qualys公司漏洞和恶意软件研究主管Rodrigo Branco将谈论恶意软件编写者目前为逃避检测所使用的技术。Blanco对规避技术进行了分类,并在有百万恶意软件样本的数据库中运行各种工具,来追踪新兴技术的有效性。同时,佐治亚理工学院的博士研究生Chengyu Song将讨论目前的恶意软件分析环境以及让自动化恶意软件分析“甘拜下风”的网络犯罪技术。Song计划用Flashback僵尸网络举例说明恶意软件编写者抵御自动化分析。
高明的攻击者还可以选择完全绕过操作系统来执行攻击。Toucan System公司创始人兼首席执行官Jonathan Brossard将演示BIOS级的攻击--从后门入侵各种基于Intel的主板。这种攻击有时候可以发生在电脑或者设备的制作和装运过程中,它能永久地破坏计算机的安全性,即使对系统的硬盘驱动器进行重新成像也无法恢复。
“很少有人会考虑,我们的计算机在交付给我们以及制作过程中的安全性问题, Zanero表示,“事实上攻击者可以完全不需要接触电脑的情况下,再构建一个BIOS组件,使用我们通常检测恶意软件的方法,根本无法发现这个组件,这相当可怕。”
入侵嵌入式系统
负责Breaking Things会议主题的 Leaf 安全研究的创始人兼总裁Chris Rohlf表示,今年的发言者将带来混合式的主题,“我们今年的会谈不仅会引起很多人的共鸣,而且他们会觉得这些是很有趣的话题。”
今年Rohlf将会主持如何绕过(不是入侵)谷歌的Native Client沙盒的会议,他表示,将涉及破坏硬件、软件和当前防御的方式。随着攻击者的复杂性逐渐转移到设备的底层硬件层,毫无疑问,嵌入式系统将受到威胁。
在名为“PINPADPWN”的会议中,MWR 信息安全公司的研究人员“Nils”和Rafael Vega将展示支付终端中存在的漏洞。Nils和Vega会揭露内存损坏漏洞,和针对运行在设备固件上的支付应用的漏洞。如果成功利用这个漏洞,攻击者将能够获得对整个终端的控制。
其他会议将侧重于入侵软件。谷歌研究人员Fermin Serna将谈到地址空间布局随机化(ASLR)中的缺陷,这个缺陷可能导致信息泄露。Context信息安全公司的首席顾问James Forshaw将演示入侵.NET应用程序中部分信任沙盒的方式。
