机器学习如何检测那些运用沙盒逃避和静态防护的恶意软件

Unit 42研究人员讨论了基于虚拟机监控程序的沙盒中基于内存的工件构建的机器学习渠道，该沙盒是Advanced WildFire的一部分。可以提高对恶意软件的检测精度。

恶意软件开发者越来越多地采用逃避技术，如混淆、封装和在进程内存中执行动态注入的shellcode。使用来自文件结构的线索进行恶意软件检测可能并不总是成功的。封装技术可以充分修改文件结构以消除这些线索。因此，仅在这类特征上训练的机器学习模型将无法有效地检测出此类样本。

这种检测方法的另一种流行的替代方法是使用机器学习模型，该模型基于恶意软件在沙盒内的执行痕迹来预测恶意行为。然而，正如我们原来所详细介绍的那样，沙盒逃避非常普遍，有效负载通常会根据任何数量的线索选择不执行，这些线索会指向正在模拟的样本。

恶意软件也可能会无意或有意地破坏沙盒环境，覆盖日志文件，或由于其所使用的低级技巧而阻止成功分析。这意味着，在执行日志上训练机器学习模型也不足以捕捉这些逃避类的恶意软件。

GuLoader恶意软件是加密的，它也是通过NSIS安装文件传递的，这对于静态分析来说并不理想，因为必须首先解压缩文件内容。一旦它被解压缩，我们仍然有加密的数据和一个NSIS脚本。脚本本身也会动态地解密代码的某些部分，这是使其难以检测的另一个因素。

然而，没有太多的结构线索可以识别这可能是恶意软件。因此，在可移植可执行文件(PE)结构上训练的机器学习模型将不能有效地将该文件与其他良性文件区分开来。

在此函数被调用之前，字符串$INSTDIR\Filterposerne\Malkekvg. exeNat被复制到名为$4的字符串变量中，如图2和图3所示。函数func_30从Programmeludviklinger210中读取数据。Kon文件并构建代码，它将在字符Z被看到后立即调用这些代码。

NSIS允许开发人员能够从Windows DLL调用任何导出的函数，并且还允许他们将结果直接保存在NSIS寄存器/堆栈中。此功能允许恶意软件开发者在运行时动态调用Windows API函数，并使静态分析更加困难，因为在分析之前必须对其进行评估。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!