一个病毒分析员的自我修养 – 作者:熊猫正正

09年大学毕业,一直从事与病毒等恶意软件相关的工作,差不多有十年的工作经验了,这里给大家介绍一些最近比较活跃的恶意软件,以及自己从业的一些心得与体会。

恶意软件已经成为网络安全领域的重点关注对象,事实上全球各地每天都在发生各种网络攻击事件,大部分事件都是通过恶意软件进行攻击,其中以勒索、挖矿、银行木马,以及各种APT远控等盗取客户信息为主。

最近几年勒索病毒太火了,其主要的原因可能就是因为黑客从中获取了巨大的利益,导致勒索病毒攻击也越来越多,使用的攻击手法也各不相同,这种“简单粗爆”“来钱快”的方式正好可以达到黑客的目的,最大限度的获利,现在的黑客团队不像以前只是单纯的为了炫技,更多的是为了获利,而勒索病毒的巨大利益,导致黑客不断开发新的勒索病毒,使用新的方法对各企业进行攻击勒索,可以预见2019年针对企业的勒索病毒攻击会越来越多……

勒索病毒国内主要以”四大家族”勒索病毒为主:Globelmposter、CrySiS、GandCrab、Satan,GandCrab勒索病毒从2018年1月份首次出现V1.0,一直到现在V5.2版本,其中也有多个小版本的出现,也是2018年至今最活跃的勒索病毒,GandCrab5.1版本国外某安全公司公布了相应的解密工具,可以解密GandCrab5.1版本之前的几个版本,但是黑客马上又开发布了最新的GandCrab5.2版本,GandCrab5.2现在仍非常活跃,很多企业中招,主要通过邮件附件等方式进行定向攻击,Globelmposter和CrySiS勒索病毒,主要通过RDP爆破的方式,对国内多家企事业单位进行勒索攻击,Satan勒索病毒利用了多个WEB漏洞以及永恒之蓝进行传播感染,相应的版本也从1.0一直变种到了4.4,也是相当的活跃。

国外最近主要以Ryuk、JCry、LockerGoga、Criakl、Gorgon等勒索病毒家族为主,同时随着.NET框架的流行,以及某NET框架勒索病毒的开源,后期出现了大量使用.NET框架编写的各种勒索病毒。

银行类木马,目前主要以:Emotet、TrickBot、Ursnif(Gozi)等三款主流银行木马为主,其中Emotet是最流行的银行木马,而且相当复杂,基本上每天都有新的变种出现。

挖矿病毒,Windows上最流行的是通过永恒之蓝进行传播的挖矿病毒WannaMiner1.0到WannaMiner4.0挖矿病毒,无文件类型的挖矿病毒主要以PowerShell无文件方式挖矿病毒样本及其变种为主,由于PowerShell脚本的流行,以及WMI技术的新起,这种类型的挖矿病毒,近几年也是非常流行,Linux上挖矿病毒以DDG家族为主,主要使用sh脚本启动挖矿程序的方式进行挖矿,然后将sh脚本写入到crontab等Linux自启动项进行持久化操作。

Linux下的僵尸网络,主要以:XorDDoS(BillGates),XnoteDDoS这两个家族,基本上Linux上的僵尸网络就以这两个家族为主,其中XorDDoS已经占据Linux DDoS的大片江山了。

感染型蠕虫类病毒,主要以一些比较老的病毒为主,感染型病毒LPK,蠕虫病毒Conficker蠕虫,Morto蠕虫等,虽然这些都是上十年的老病毒,但在用户的机器上仍然活跃着,同时最近几年新的感染型蠕虫类的病毒较少,以老病毒为主。

APT攻击,国内主要以海莲花APT攻击为主,APT攻击主要的在于使用不同的免杀技术,最后释放相应的远控恶意程序,获取客户信息等。

基于IOT工控施备的Mirai蠕虫变种,主要有Persirai、Hajime、DvrHelper、BrickerBot、Omni、OWari、Josho、Qbot、Saikin、Sora等家族,都是基于Mriai的变种,主要利用各种不同的IOT设备漏洞,以IOT DDoS攻击为主。

Android上的病毒以各种截持短信,流氓推广,弹广告,刷流量,刷ROM,以及后面手机端蠕虫,敲诈者,百脑虫,FakeDebugger,GhostPush等为主

OSX平台上以广告和盗取客户信息的恶意样本为主,主要的家族以:WireLurker、XcodeGhost、YiSpecter、ZergHelper、BackStab,、KeyRaider、TinyV的等为主,同时可以预见,在未来随着Mac用户的增多,基于Mac平台的恶意软件也会越来越多。

从事病毒分析这么多年,从windows平台一直做到了iot平台,分析过的样本自己都数不清了,现在主要以Windows/Linux平台的恶意样本为主,从业这么多年,说说自己的一些心得与体会吧,很多人对病毒分析其实并不了解…….病毒分析是我认为最有意思的一项安全工作,主要两个原因吧:

1.可以研究最新的安全攻防技术

2.可以在安全的第一线,与黑产面对面

搞逆向调试有时候会很累,有时候很想放弃,可每当拿到一个最新的样本的时候,总忍不住想看看它里面到时是怎么样的?逆向的乐趣在于你可以从任何样本中找到最有价值的东西,同时也是对抗黑产最直接有效的方法,从样本中找答案,知已知彼,心中有数。

研究最新的安全攻防技术,恶意样本的发展也从原来的简单的病毒,木马,后门,僵尸网络等,一直到最近几年比较流行的勒索,挖矿病毒,技术也有了一些新的发展,比方现在比较流行的PowerShell+WMI无文件攻击方式等,同时恶意样本的攻击平台也越来越大,从以前简单的windows/Linux平台,发展到移动互联网平台(Android/iOS),然后到IOT智能设备(类Linux平台)等,不管哪个平台的出现,都会伴随着一大批新型的恶意样本的出现。

恶意样本分析永远在安全的第一线,大部分终端安全问题都是由于恶意样本攻击导致的,同时黑客为了能够可持续发展,会不断的更新它的病毒样本以及使用的病毒植入技术,导致会有不同的新的病毒家族出现或家族变种样本的出现,安全的本质就是直面黑产,人与人的对抗,做黑产的在不断更新,做安全的当然也得时刻跟进,不然就会落后。

做安全的一定要有自己的核心能力,以及足够深的专业的技术,你可能在佣有这项能力和技术之外再去学习扩展其它的,安全的面现在越来越广,现在的安全方向很多,随着时代的发展,也出现了一些新型的大数据安全,区块链安全,人工智能安全等……

安全的发展离不开新的平台的出现,当有新的平台或新的技术出现的时候,就会有新的安全威胁,安全的本质本身就是人与人的对抗,只要有利益,就有人去做黑产,有做黑产的,就一定需安全的。

不管安全怎么发展,它始终离不开扎实的基础安全能力,做安全的一定要把基础打好,有了好的基础,不管你做什么都会很快,不管学什么都会比别人有更深的理解,同时一定要培养自己的核心安全能力,这点很重要,要多动手,多思考,多实战,日积月累,你的安全能力就会越来越强,要努力成为某个领域的专家!

安全的路还很长,坚持很重要,兴趣也很重要,没有兴趣,很难坚持走下去……

这就是我:一个病毒分析员的自我修养,我会一直坚持做下去……

 

来源:freebuf.com 2019-04-12 14:27:36 by: 熊猫正正

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论