Metamorfe malware setter ny standard i antivirus evasion

En av de mest innovative og lumske kreasjoner av malware propagators har utvilsomt vært advent av metamorfe malware. For å forstå konseptet - og sin fetter, polymorfe malware - krever en grunnleggende forståelse av underliggende malware kryptering teknikker. I den enkleste av modeller, en kryptert virus består av et virus dekryptering rutine (VDR) og en kryptert virus legeme (EVB). Utføringen av en infisert søknad gjør det mulig for VDR å dekryptere EVB, som i sin tur fører til at viruset for å utføre sin tiltenkte funksjon. I forplantning fasen, viruset re-kryptert og legges inn på en annen vertsprogram. En ny nøkkel er tilfeldig generert med hver enkelt kopi, og dermed forandre utseendet av koden. Men fortsatt er VDR konstant, og dette er dens iboende svakhet, noe som resulterer i påvisning via signatur anerkjennelse.


Lytt til Noah Schiffman tips
Last Noahs metamorfe virus strategier til din PC eller favoritt MP3-spiller.

Polymorfisme, som bokstavelig talt betyr " endring som av utseende, " tilfører en ytterligere komponent til den krypterte kode - en mutasjon motor (ME). ME hovedsak kan endre koden til et annet program uten å endre dens funksjonalitet. For eksempel kan et ME forandre koden til en VDR med hver replikasjon, og samtidig opprettholde dens evne til å dekryptere EVB. Den kontinuerlige endring av VDR er oppnådd ved bruk av obfuscation teknikker som useriøs kode innsetting, instruksjon bestilling og matematiske contrapositives. Men bevaring av dekryptert viruset kroppen er dens akilleshæl, da det gir en form for kompleks signatur. Derfor har avanserte teknikker som generisk dekryptering skanning, negativ heuristisk analyse og bruk av emulering og virtualiseringsteknologier vist seg å være vellykket polymorfe deteksjonsmetoder.

Utvikler seg fra de mangler av polymorfisme, metamorfe malware brakt viruset mutasjon til neste nivå. I stedet for å mutere til EVB og reapplying en kryptografisk cover, metamorfose benytter ME å forvandle selve viruset. Ved hjelp av en demontering fase, er koden representert som et meta-språk som karakteriserer dens ende funksjon, uten hensyn hvor koden oppnår denne funksjonen. Dermed, etter analyse, kode morphing og remontering, er sluttresultatet nye koden som bærer ingen likhet til sin opprinnelige syntaks, men det er funksjonelt det samme.


For mer informasjon

Ed Skoudis vurderinger polymorfe virus forsvar. Lær om Warezov og dens mange varianter. SearchSecurity.com sin Messaging Security School har leksjoner om hvordan å forsvare din mobile enheter mot virus og skadelig programvare.

Metamorf malware evne til å fullstendig re-endre sin kode - og endre sin signatur mønster - med hver syklus er bevis for sin urovekkende betydelig makt for å unngå AV teknikker. En protomodell kan observeres med Win32.Metaphor virus (aka Win32.Etap, Win32 /Simile). Acronymically oppkalt etter metaforisk permutating høy obfuscating samle, dette viruset først dukket opp i 2002, med mange varianter følgende. Til tross for sin ikke-destruktiv nyttelast (diverse meldinger ble vist avhengig av dato), dens inkorporering av flere innovative og avanserte metamorfe teknikker forutsatt vellykket forplantning og antivirus unndragelser. Den kraftige kombinasjonen av inngangspunkt skygging (EPO), pseudo-kode permutasjon, størrelse krymper og ekspansjon (" trekkspill modell " teknikk), anti-emulering tidsstempel analyse, avanserte infeksjon rutiner og cross-platform kompatibilitet med Linux, skapte en ny klasse av malware - et trusselnivå overgår ikke-metamorfe kode. Dette endret bedriften sikkerhetsmodellen, som krever forskjellig strategisk perspektiv for sentral, perimeter og endepunktssikkerhet.

Selv om ingen definitive altomfattende deteksjonsmetoder eksisterer for kontinuerlig utvikling klasse av malware, er mulig identifikasjon. Metamorfose avslører dens iboende svakhet i sitt behov for selv-analyse. Som en enhet, kan det analysere sin egen kode, slik at det teoretisk sett kan analyseres av andre programmer. Effektive metoder har blitt utviklet ved hjelp av emulering teknikker for å heuristisk undersøke etter morphed funksjon av koden. Videre forskning på metoder som automatiserte replikasjonssystemer, likheten indekser, geometrisk analyse og sporing emulatorer fortsette å vokse. Til tross for fremskritt i oppdagelse og forebygging, er virusforfattere å lage mer avanserte og effektive mutasjon motorer og nye obfuscation teknikker. Inntil en metode for endelig identifisering er utviklet, vil nye former for metamorfe kode fortsetter å forplante og en utfordring for sikkerhetsmiljøet.

Beskyttelse mot alle typer metamorfe malware er best løses ved blandet threat management plattformer ved hjelp av en multi-lagdelt tilnærming. Antivirusprogramvare, oppdateres ofte, bør ekstern tilgang restriksjoner og samsvarskontroll benyttes på nivåene server og sluttbruker. Nettverk og personlige brannmurer skulle ha noen ubrukte tjenesteporter stengt. E-post servere skal ansette innholdsfiltre og filsøk. Til slutt, bør enhver bedrifts innstilling utvikle, vedlikeholde og håndheve en godt definert og effektiv sett med sikkerhetspolitikk. I ekstreme situasjoner, når du arbeider med svært sensitive data, ekstra sikkerhetstiltak som sanntids emulering analyse og spesialisert nettverkssegmentering kan vurderes.