来源:http://www.hengtaiboyuan.com 作者:恒泰博远 时间:2014-08-14
赛门铁克发现大多数的恶意软件,这些天在VM上,这曾经是一种策略,以避免安全检查不退出
许多恶意软件程序用来进行快速退出虚拟机,旨在避免安全检查的一种战术。但事实并非如此了,根据赛门铁克的研究。
随着企业越来越多地使用虚拟机的作战环境,恶意软件编写者在很大程度上尝试其他方法来避免被发现。这意味着,只要运行的虚拟机将不足以吓跑恶意软件。
赛门铁克的研究自2012年它跑在虚拟机上和非虚拟机的样品,看看哪些会停止工作虚拟机检测时提交其客户20万个恶意软件样本。
只有18%的恶意软件程序研究了虚拟机检测时停止执行,写偷拍Wueest,威胁研究员,在博客周二。
“恶意软件作者要妥协,因为许多系统成为可能,因此,如果恶意软件并没有在虚拟机上运行,它限制了它的电脑可能危及数,”Wueest写道。 “所以,这不应该令人感到惊讶,大多数样品将于今日在虚拟机上运行正常。”
恶意软件用来避免一招,从一个虚拟机被引导通过安全软件是简单地等待,赛门铁克的报告说。
如果新文件不前五分钟或十分钟行动可疑,系统可能会决定它是无害的。其他类型的恶意软件将等待一定数量的鼠标左键点击解密自己和发射有效载荷之前,Wueest写道。
“这可以使它很难或不可能的自动化系统来约在很短的时间内恶意软件的正确结论”,根据该报告。
令人担心的是,恶意软件将作出自己的方式回到了虚拟机的主机服务器。这是“危机”的恶意软件的使命,一个Java文件,通过它运行在Windows和苹果的OS X系统的社会工程分布
危机中试图传播到被存储在本地服务器上的虚拟机,赛门铁克写道。它没有利用漏洞,但利用了虚拟系统仅仅是一台主机服务器上的一系列文件。风格相似的攻击被称为“倾盆大雨”,发现于2009年。
总体而言,在战术的变化是安全研究人员更好的,因为大多数的恶意软件将继续运行,并在虚拟机上可能被检测到。但赛门铁克表示,不要错过18%的恶意软件会退出的,真实的物理硬件应在分析中使用。
对于那些关心虚拟机,赛门铁克建议硬化主机服务器,虚拟机的警惕补丁和使用反恶意软件的防御。
本文链接:http://www.hengtaiboyuan.com/jsdt/content_381 转载请注明来自北京恒泰博远科技有限公司
您的位置 :