防毒軟件”失職“還是惡意軟件太”狡猾“?惡意軟件可繞過Android防護系統(tǒng)

網(wǎng)絡(luò)安全研究學(xué)者最新研究發(fā)現(xiàn)，Android即便安裝防毒軟件仍然容易受到各種惡意軟件的攻擊，這將帶來嚴重的風(fēng)險，因為網(wǎng)絡(luò)攻擊者會改進其工具即以更輕易地逃避分析。

惡意軟件手法

惡意軟件編寫者使用隱形突變(變形/混淆)來不斷開發(fā)惡意軟件的克隆，阻止基于簽名檢測器的檢測，這種克隆攻擊嚴重威脅到所有移動平臺尤其是Android。

與IOS不同的是，Android設(shè)備上的應(yīng)用程序可以從第三方來源下載，這增加了不知情用戶安裝未經(jīng)安全驗證、外觀相似的應(yīng)用程序的可能性，這些應(yīng)用程序克隆了合法應(yīng)用程序的功能，但其目的是誘使目標(biāo)用戶下載帶有欺詐代碼的應(yīng)用程序，這些欺詐代碼將竊取敏感信息。

更重要的是，惡意軟件編寫者可以擴展這種技術(shù)，以開發(fā)具有不同抽象和混淆級別的多個流氓軟件的克隆，繞過殺毒軟件并掩蓋其真實意圖。

為了測試和評估商業(yè)上可用的防毒軟件產(chǎn)品抵御這種攻擊的彈性，研究人員開發(fā)了一個名為DroidMorph的工具，它允許Android應(yīng)用程序(APKs)通過將文件反編譯成中間形式進行“變形”，然后對其進行修改和編譯以創(chuàng)建惡意軟件。

研究人員指出，變形可以在不同層級上進行，比如改變源代碼中的類和方法名，或者改變程序執(zhí)行流程(包括調(diào)用圖和控制流圖)的重要內(nèi)容。

在使用DroidMorph生成的1771個變形APK變體的測試中，研究人員發(fā)現(xiàn)，17個領(lǐng)先的商業(yè)防毒軟件程序中有8個未能檢測到任何克隆應(yīng)用程序，類變形的平均檢測率為51.4%，方法變形的平均檢測率為58.8%，所有程序中觀察到的主體變形為 54.1%。

被成功繞過的防病毒軟件程序包括Line Security、Max Security、DU Security Labs、Antivirus Pro、360Security、Security Systems、Go Security和LA Antivirus Lab。

傳統(tǒng)Android殺毒軟件并不能做到萬無一失。但這種現(xiàn)象并不僅存在于這一系統(tǒng)中。Google也面臨同樣問題。2019年防病毒測試組AV-Comparatives在測試了Google Play商店中提供的250個防病毒軟件安全應(yīng)用程序后，其中138個應(yīng)用程序檢測不到30%的惡意軟件樣本，包括一些安全應(yīng)用程序似乎也是假的。

防毒軟件”失職“還是惡意軟件太”狡猾“?

早在2014年威脅防護公司Damballa發(fā)布的《感染狀態(tài)報告》中就指出了以預(yù)防為主的安全手段存在局限之處。報告顯示，在提交檢測的第一個小時之內(nèi)，殺毒軟件產(chǎn)品會“錯過”近70%的惡意軟件。當(dāng)再次掃描以鑒別惡意軟件簽名，僅66%能夠在24小時內(nèi)被識別。防病毒軟件主要是通過對系統(tǒng)監(jiān)控，防止病毒進入系統(tǒng)并對關(guān)鍵部位進行惡意改動，在病毒啟動前對病毒進行阻攔，在病毒侵入時進行截殺以實現(xiàn)對系統(tǒng)的保護。但對于針對性的繞過安全防護的惡意軟件來說，防病毒軟件形同虛設(shè)。

同時，隨著網(wǎng)絡(luò)攻擊者攻擊手段不斷改進，一些惡意軟件利用防病毒軟件中存在的漏洞實施入侵，這也給網(wǎng)絡(luò)安全防御造成困擾。

DevsecOps助力應(yīng)用程序自身”免疫“

DevSecOps包括創(chuàng)立一種安全即代碼(Security as Code)文化，從而在發(fā)布開發(fā)工程師和安全團隊之間，建立一種可以持續(xù)的，靈活合作的機制和流程，把在傳統(tǒng)軟件開發(fā)流程里面最后由安全測試團隊把關(guān)掃描的安全工作，左移到整個軟件開發(fā)的全流程，從而降低應(yīng)用在上線后出現(xiàn)的安全隱患，加強應(yīng)用程序自身”免疫力“。

一般來說，安全代碼的掃描主要分成靜態(tài)掃描，動態(tài)掃描以及交互式掃描。所謂的靜態(tài)掃描就是利用靜態(tài)代碼檢測工具直接掃描代碼的源文件或者二進制文件，通過審查源代碼發(fā)現(xiàn)其是否存在代碼缺陷及已知/未知的安全漏洞;動態(tài)應(yīng)用安全測試是黑盒測試，測試這主要從外部進行測試，比如模擬黑客工具、滲透測試等一般針對Web應(yīng)用程序;而交互式應(yīng)用安全測試就是通過把安全工具的Agent嵌入到應(yīng)用程序里面，從而在測試應(yīng)用程序的時候，這個安全代碼能夠監(jiān)控到應(yīng)用系統(tǒng)的網(wǎng)絡(luò)內(nèi)容，堆棧等信息，從而嗅探出系統(tǒng)在動態(tài)行為下的安全漏洞。

總結(jié)來說，靜態(tài)代碼安全檢測能夠減少軟件自身系統(tǒng)漏洞，可以有效避免受到惡意軟件攻擊，同時也能降低繞過防毒軟件的惡意攻擊風(fēng)險。

參讀鏈接：

https://www.woocoom.com/b021.html?id=7adf8adc31504ce589665abf354a51f3

https://thehackernews.com/2021/06/droidmorph-shows-popular-android.html