通过自动化机器学习对抗Java恶意软件
最近幾個(gè)月,黑客們又開始利用電子郵件展開大規(guī)模攻擊,糟糕的是,這些惡意軟件還使用了新技術(shù)來繞過殺毒軟件的防護(hù)。但是,通過微軟研究團(tuán)隊(duì)研發(fā)的自動(dòng)化專家系統(tǒng)和機(jī)器學(xué)習(xí)模型,搭載Windows 10的電腦就可以及時(shí)地應(yīng)對(duì)這些威脅。
黑客們總是不斷改變他們的攻擊方法和工具,專家們從多年來對(duì)惡意軟件和網(wǎng)絡(luò)犯罪行為的研究中了解到,黑客們開始使用編程語言進(jìn)行惡意活動(dòng),而這些攻擊行為總會(huì)繞過既有的安全解決方案。例如,最近微軟的安全專家們就跟蹤了黑客們是如何改變他們使用的NSIS安裝程序,以逃避殺毒軟件的檢測(cè),并實(shí)施攻擊。
為了讓W(xué)indows Defender Antivirus能夠有效實(shí)時(shí)保護(hù),微軟安全專家們開發(fā)了智能安全圖像識(shí)別技術(shù)(Microsoft intelligent security graph)。這是一個(gè)很強(qiáng)大的智能系統(tǒng),用于監(jiān)控來自網(wǎng)絡(luò)的大量威脅情報(bào)。該系統(tǒng)包括了機(jī)器學(xué)習(xí)模型,可以對(duì)最新的威脅采取主動(dòng)性的防護(hù)。
跟蹤含有廣告的惡意電子郵件
2017年年初的時(shí)候,微軟的智能安全圖像識(shí)別技術(shù)就已經(jīng)探測(cè)到Java垃圾郵件活動(dòng)的跡象并開始收集相關(guān)的活動(dòng)證據(jù),而且利用該工具的自動(dòng)化技術(shù)可以對(duì)大量惡意電子郵件進(jìn)行排序和分類,這樣安全專家們就提前知道了含有Java惡意軟件的電子郵件在不斷的激增。
這些電子郵件使用各種社會(huì)工程技術(shù)來誘使收件人打開惡意附件,其中有很多電子郵件是葡萄牙語,不過也有英文。這些惡意軟件會(huì)偽裝成是計(jì)費(fèi)(比如Adwind)、付款、養(yǎng)老金或其它財(cái)務(wù)預(yù)警的通知。
以下是含有廣告的電子郵件中最受歡迎的主題和附件的文件名組合:
附件通常是.zip或.rar之類的文件,其中包含惡意的.jar文件。 黑客可以利用.jar作為附件文件來繞過殺毒軟件的識(shí)別,因?yàn)橄啾扔贛IME、PDF、文本、HTML或文檔類型文件,.jar文件很難被識(shí)別出來。
在.zip文件中攜帶Java惡意軟件的惡意電子郵件
跟蹤惡意代碼的更新
除了關(guān)于電子郵件活動(dòng)的信息之外,這個(gè)自動(dòng)化監(jiān)控工具還顯示了另外一個(gè)有趣的變化,就是在惡意軟件的整個(gè)運(yùn)行期間,它們每天平均使用了900個(gè)不同的Java惡意文件。所以也就解釋了Windows Defender Antivirus會(huì)在一天內(nèi)遇到1200個(gè)不同的惡意Java文件:
含有廣告的惡意電子郵件所使用的Java惡意文件的數(shù)量
這些Java惡意文件都是過去的惡意軟件的變體,之所以要不斷地更新文件代碼,就是為了試圖逃避殺毒軟件的檢測(cè)。
在Java惡意軟件的這些新變體中,安全專家們看到的最顯著的變化就是它們模糊惡意代碼的方式。例如,它們看到以下混淆技術(shù):
1.使用一系列附加操作符和字符串解密功能
2.使用過長的變量名,使其變的不可讀
3.使用過多的代碼,使代碼跟蹤更加困難
經(jīng)過混淆的代碼可以讓惡意分析工具變的一無是處,不過安全圖像識(shí)別技術(shù)可以自動(dòng)觸發(fā)這些經(jīng)過混淆的惡意軟件。當(dāng)惡意軟件被觸發(fā)時(shí),利用機(jī)器學(xué)習(xí)模型就可以分析出看到惡意軟件的意圖,并提前做好應(yīng)對(duì)措施。
安全專家們利用該工具把觸發(fā)期間觀察到的惡意行為都記錄了下來,之后,并使用這些記錄的線索,來檢測(cè)新的和未知的惡意附件。這些惡意行為包括:
惡意軟件跟蹤日志
從情報(bào)分析到實(shí)時(shí)防護(hù)
通過利用該工具進(jìn)行自動(dòng)分析,機(jī)器學(xué)習(xí)和預(yù)測(cè)建模,安全專家們就能夠更好地為最新的,從未見過的惡意軟件提供保護(hù)。通過對(duì)威脅情報(bào)的具體分析, Windows Defender AV便能夠?qū)崟r(shí)提供全面的威脅防護(hù)。
其中上下文感知系統(tǒng)可以分析數(shù)百萬潛在的惡意軟件樣本并收集大量的威脅情報(bào),同時(shí)這些威脅情報(bào)又豐富了機(jī)器學(xué)習(xí)的樣本庫,使殺毒軟件能夠?qū)崟r(shí)阻止相關(guān)威脅。除了Java惡意軟件之外,利用上下文感知系統(tǒng)可還能檢測(cè)到有效載荷,比如像Banker和Banload這樣的網(wǎng)絡(luò)銀行木馬程序,或者像Jrat和Qrat這樣的Java遠(yuǎn)程訪問木馬程序(RAT)。
自動(dòng)化系統(tǒng)將威脅情報(bào)提供給云引擎和機(jī)器學(xué)習(xí)模型,從而實(shí)現(xiàn)對(duì)威脅的實(shí)時(shí)保護(hù)
不斷累積的威脅情報(bào)會(huì)不斷增強(qiáng)機(jī)器學(xué)習(xí)模式的分析能力,當(dāng)來自最新威脅的惡意文件標(biāo)識(shí)符被添加到機(jī)器學(xué)習(xí)分類器后,防御措施便自動(dòng)開啟。
這就是安全專家們?nèi)绾问褂米詣?dòng)化、機(jī)器學(xué)習(xí)和云端來對(duì)最新的和未知的威脅提供更加智能和強(qiáng)大的保護(hù)技術(shù)。 Windows Defender AV可以自動(dòng)保護(hù)Windows PC免受97%以上惡意軟件惡意軟件的侵?jǐn)_。
對(duì)檢測(cè)道德Java惡意軟件進(jìn)行細(xì)分
結(jié)論
通過電子郵件活動(dòng)來推送Java惡意軟件,只是黑客們用于傳遞新的惡意軟件和其他威脅的一種手段而已。相信黑客們會(huì)不斷改進(jìn)自己的攻擊工具和手段,以逃避現(xiàn)有防護(hù)工具的保護(hù)。
Windows Defender AV研究團(tuán)隊(duì)正在試圖通過自動(dòng)化流程,機(jī)器學(xué)習(xí)和云保護(hù)技術(shù)的組合來增強(qiáng)防御技術(shù)。目前,這些保護(hù)技術(shù)已經(jīng)內(nèi)置于Windows 10中,建議大家盡快更新到最新的系統(tǒng)。
Windows Defender Antivirus通過使用自動(dòng)化、機(jī)器學(xué)習(xí)和啟發(fā)式方式提供對(duì)惡意軟件及其有效載荷等威脅的實(shí)時(shí)保護(hù)。
在企業(yè)環(huán)境中,Office 365高級(jí)威脅防護(hù)可以阻止來自垃圾郵件廣告的惡意電子郵件,例如分發(fā)Java惡意軟件的惡意電子郵件,就可以被本文中所討論的自動(dòng)化流程的機(jī)器學(xué)習(xí)所檢測(cè)到。
微軟的設(shè)備保護(hù)(Device Guard) 是由硬件和軟件系統(tǒng)完整性強(qiáng)化功能組成的功能集,這些功能徹底革新了 Windows 操作系統(tǒng)的安全性,并提供基于內(nèi)核級(jí)別的虛擬化的安全保護(hù)措施,僅允許可信應(yīng)用程序運(yùn)行。
這樣做的不僅僅是微軟,Oracle一直在對(duì)使用Java的合法應(yīng)用程序進(jìn)行更強(qiáng)大的安全檢查。例如,從Java 7 Update 51開始,Java不允許未簽名的Java應(yīng)用程序進(jìn)行自簽名或缺少權(quán)限屬性。 Oracle還將開始使用SHA1或更強(qiáng)的簽名來代替MD5簽名的.jar文件。
但要強(qiáng)調(diào)的是,本文中討論的Java惡意軟件就是Java可執(zhí)行文件。以下是在企業(yè)環(huán)境中防范Java惡意軟件的其他一些建議:
1.在操作系統(tǒng)中刪除文件類型關(guān)聯(lián)中的JAR,以便雙擊時(shí).jar文件不會(huì)運(yùn)行,
2..jar文件必須使用命令行手動(dòng)執(zhí)行,
3.要求Java只執(zhí)行已簽名的.jar文件,
4.手動(dòng)驗(yàn)證簽名的.jar文件,
5.應(yīng)用電子郵件網(wǎng)關(guān)策略來阻止.jar作為附件。
原文發(fā)布時(shí)間為:2017年4月25日 本文作者:xiaohui 本文來自云棲社區(qū)合作伙伴嘶吼,了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接
總結(jié)
以上是生活随笔為你收集整理的通过自动化机器学习对抗Java恶意软件的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 原创:横跨两大洲的国家有哪些?欧洲国家为
- 下一篇: Linux下的shell简介(三)