恶意软件
隐蔽型恶意软件
别称: 逃逸型恶意软件, 反取证型恶意软件
定义
通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。
隐蔽型恶意软件集合了大量逃逸技术:对系统 API 进行钩子以隐藏文件和进程、拦截完整性检查、检测沙箱和虚拟机、反调试、代码混淆、利用合法系统二进制(LOLBins)、时间戳篡改、操作完成后清除日志等。Rootkit、高级银行木马、APT 植入物以及许多勒索软件 loader 都属于此类。检测依赖具备内核可见性的 EDR、内存取证、网络流量分析、基于 TTP(如 MITRE ATT&CK)的威胁狩猎,以及外发到独立日志系统的防篡改日志。加固措施包括安全启动、强制签名驱动、最小权限,以及通过主动狩猎缩短驻留时间。
示例
- 对 Windows API 隐藏自身文件的 TDL/TDSS Rootkit。
- 配置为检测沙箱并解除 EDR 钩子的 Cobalt Strike Beacon。
相关术语
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
多态恶意软件
在每次感染时通过重新加密或加壳等手段改变磁盘上外观,但核心逻辑保持不变的恶意软件。
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
Anti-Forensics
Anti-Forensics — definition coming soon.
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
恶意软件
任何被故意设计用于破坏、损害计算机、网络或数据,或对其进行未经授权访问的软件。