Wirusy polimorficzne

Kod polimorficzny modyfikuje się, aby uniknąć wykrycia. Kod wirusa może to osiągnąć, dynamicznie składając się ponownie w celu zmodyfikowania podstawowej struktury przy jednoczesnym zachowaniu ogólnej funkcjonalności. W innych metodach wirus jest szyfrowany, kodowany lub pakowany, a program ładujący odszyfrowuje, dekoduje lub rozpakowuje wirusa w czasie wykonywania. UPX, Ultimate Packer dla eXecutables, jest obecnie najczęściej stosowanym formatem packera. W raporcie o zagrożeniach bezpieczeństwa SOPHOS 2013 autorzy piszą:

Polimorfizm nie jest nowym pomysłem – autorzy szkodliwego oprogramowania używają go od 20 lat. Mówiąc wprost, kod polimorficzny zmienia swój wygląd, próbując uniknąć wykrycia, bez zmiany jego zachowania lub celów. Jeśli program wygląda inaczej, atakujący mają nadzieję, że oprogramowanie antywirusowe może go przegapić. Lub oprogramowanie antywirusowe może zostać zmuszone do wygenerowania zbyt wielu fałszywych alarmów, co skłoni użytkowników do jego wyłączenia. W ataku polimorficznym kod jest zwykle szyfrowany, aby wydawał się bez znaczenia, i łączony z deszyfratorem, który przekształca go z powrotem w formę, którą można wykonać. Za każdym razem, gdy jest odszyfrowywany, silnik mutacji zmienia swoją składnię, semantykę lub oba. Na przykład autorzy szkodliwego oprogramowania dla systemu Windows często używali strukturalnej obsługi wyjątków w celu zaciemnienia przepływu kontroli i utrudnienia wykonywania statycznej analizy programów przed ich uruchomieniem. Tradycyjne wirusy polimorficzne są samowystarczalne i muszą zawierać silnik mutacji zamówienia do replikacji. Sophos i inne firmy zajmujące się bezpieczeństwem są biegłe w wykrywaniu tych form złośliwego oprogramowania. Dostęp do silnika mutacji ułatwia analizę jego zachowania. Obecnie osoby atakujące szybko przechodzą na złośliwe oprogramowanie rozproszone w Internecie, polegające na polimorfizmie po stronie serwera (SSP). Teraz silnik mutacji i powiązane narzędzia są hostowane całkowicie na serwerze. Przestępcy mogą używać tych narzędzi do tworzenia różnorodnych treści plików w locie. Odbiorcy tej zawartości (czy to Windows .exe, Adobe PDF, JavaScript, czy cokolwiek innego) widzą tylko jeden przykład tego, co silnik może stworzyć. Nie widzą samego silnika.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *