变形脚本病毒照妖镜.PDFVIP

变形脚本病毒的“照妖镜” 火绒“脚本行为沙盒”简介 SCRIPT VM BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD. 目录 一、 前言 3 二、 反病毒引擎的脚本虚拟沙盒技术 4 1. 主流安全软件的脚本虚拟沙盒 5 2. 火绒脚本虚拟沙盒 6 三、 脚本病毒对抗手段分析 8 四、 附录 12 SCRIPT VM BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD. 一、 前言 近年来下载者病毒逐渐从传统的 PE 类病毒向脚本类病毒演变，脚本类病毒 与 PE 类相比在一些方面上存在优势。首先脚本类病毒在文件大小上明显小于 PE 类病毒，混淆成本远低于 PE 类病毒，混淆手法更为多变，并且能够实现 PE 病毒 绝大部分的功能。这类脚本病毒的批量制造，对传统安全软件提出了不小的挑战。 下载者病毒所需要的功能简单、单一，还要求病毒大小不能过大，方便网络 传播。而脚本类病毒正好满足下载者病毒的要求。所以，近年来，脚本类下载者病 毒呈现激增的趋势。 为了应对不断变化的病毒样本， 主流安全软件厂商引入了脚本的虚拟沙盒。 与 PE 类似，”脚本虚拟沙盒”是通过仿真脚本运行时环境，使病毒代码认为运行真 实系统中，进而还原其行为。通过病毒在虚拟沙盒中还原出来的原始代码和病毒执 行时的一系列行为进行查毒。理论上只要仿真环境足够逼真，真实操作系统中能够 执行的病毒，在虚拟沙盒中都能够成功执行并检测到其执行时的恶意行为。 目前国外主流安全软件都很重视这类问题，策略不同，各有优劣。火绒采用 区别于主流安全软件的创新思路实现脚本虚拟行为沙盒，可以更好地解决这个难 题。同时，基于这一思路的延伸，未来我们会为火绒反病毒引擎引入更多创新特 性。 SCRIPT VM BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD. 二、 反病毒引擎的脚本虚拟沙盒技术 由于脚本病毒的混淆方法简单，混淆成本远低于 PE 病毒，通过搜索引擎就能够 找到大量的在线混淆网站，能够简单的混淆出大量静态特征不同但功能相同的脚本。 使得仅通过静态特征查杀变得越来越困难。例如 SVM:TrojanDownloader/JS.Nemucod.a 下载者病毒，如下图所示，仅从代码形式上 来看，就有多种形式，仅单纯的阅读代码已经很难发现这些病毒其实执行的都是同样 的功能，都是由一份代码通过不同的混淆手法批量生成出来的。 图 2-1、Nemucod 家族部分样本展示 然而通过动态虚拟执行，我们可以很容易看出他们虽然下载链接、生成的文件名 并不完全相同，但行为模式几乎完全一样，如下图所示: 图 2-2、Nemucod 家族动态虚拟执行 SCRIPT VM BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD. 1. 主流安全软件的脚本虚拟沙盒 同 PE 混淆类病毒一样，通过动态虚拟执行还原被混淆代码的原始数据和行为， 才是解决问题之道。基于这样的思路 ，主流安全厂商都试图通过动态“执行”的方式来 解决脚本混淆问题。其中主流的思路是在反病毒引擎中嵌入脚本解释器来分析并执行 脚本代码，进而通过对脚本执行时需要的运行时组件进行有限的模拟来分析脚本的运 行时行为。其架构大致如下图所示：