黑帽子预算已成为企业常见的戍守策略,在这类编制中,企业试图进步报复打击者的报复打击成本来削减报复打击。同时,报复打击者也在试图让企业支出更沉重的代价来汇集报复打击谍报:从域名生成到更奥妙的代码混合,报复打击者操纵各类手艺来进步企业检测报复打击、阐发歹意软件和汇集谍报的成本。
在黑帽大年夜会上,安然办事公司CrowdStrike的高级安然研究人员Jason Geffner将会对最新的歹意软件样本履行终端到终端阐发,来演示报复打击者为进步歹意软件阐发和辨认难度所采取的一些最新手艺。作为演示的一部门,Geffner打算发布一个东西来帮忙阐发师断根报复打击者用来假装其内部运作的垃圾代码。
Geffner暗示,“当触及混合时,不管是混合歹意软件仍是出于DRM目标,这始终将是一场猫捉老鼠的游戏,采取混合手艺的人知道,赐与足够的时候,研究人员将可以或许绕过混合手艺。”
Geffner在黑帽大年夜会大将演示的歹意软件来高傲年夜范围定制报复打击,多是由犯法组织成立,目标是从企业受害者抢往财帛和信息。该报复打击利用了域名生成的算法(这类算法让企业很难堵截歹意软件通信),并且加进了良多垃圾代码来加大年夜阐发工作的难度。
ThreatGRID公司首席手艺官Dean De Beer暗示,混合手艺的整体程度允在进步。对一般的混合手艺,假定一个法度加密或封装太多,主动化系统会暗示该软件多是歹意软件。但高超的混合手艺可以避免拉响警报,并且让企业加倍难以对代码进行逆向工程。报复打击者操纵各类手艺来加大年夜阐发工作的难度,同时,进步企业响应报复打击的时候和成本。
Dean De Beer暗示,“报复打击者千方百计进步企业检测的难度,假定你碰着混合代码,它采取的是自定义封装东西或加密东西,你需要将其加载到调制器,设置断点,并试图找出加密代码。其实不是每个企业都有人可以进行逆向工程,或有足够的时候来进行阐发。”
CrowdStrike阐发的歹意软件利用了比合法法度多四倍的垃圾代码,CrowdStrike发布的东西可以或许主动地从歹意软件间断根这些垃圾邮件。当然报复打击者可能会敏捷点窜其东西和歹意软件来让主动化反混合变得加倍坚苦,但这会进步了报复打击者的报复打击成本。
他暗示,“假定报复打击者需要不竭改变其报复打击编制,这增加了他们的报复打击难度,起码这可以或许在必然程度上减缓报复打击。”但是,假定报复打击者找到更好的编制来隐躲其代码和让阐发东西更坚苦的话,这可能导致企业很难获得关于报复打击者东西和手艺的谍报。
De Beer暗示,“跟着时候的推移,报复打击者的报复打击将会被解码和解密,不管是经由过程动态仍是静态的手段,但报复打击者的方针是增加企业阐发工作的难度,让这工作变得很坚苦,假定你不克不及扩大你的阐发,并且,你不克不及扩大你的能力来产生可把持的内容和威胁谍报,那么,报复打击者就超出于你之上。”