Cerber 已具備躲避機器學習技術的能力

自從現身以來即一直不斷演進的 CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)最近又出現新的變種 (趨勢科技命名為：VBS_CERBER.DLCYG、RANSOM_CERBER.ENC、RANSOM_CERBER.VSAGD 及 TROJ_CERBER.AL)，這次它使用了一個獨立的勒索病毒載入程式來躲避機器學習機制的偵測。

一旦偵測到系統正在虛擬機器或沙盒模擬環境上執行, 即終止執行

CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族已開始採用一種讓自己更難被偵測的新技巧：專為躲避機器學習技術而設計的獨立載入程式。這個載入程式可將 CERBER 的程式碼注入某個執行程序當中執行。

CERBER 變種會經由電子郵件進入使用者系統，郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，一旦執行了該檔案，系統就會遭到感染。此勒索病毒包含多個檔案，最值得注意的是一個勒索病毒載入程式，該程式負責檢查目前系統是否在虛擬機器或沙盒模擬環境上執行。除此之外，還會檢查系統上是否安裝了某些分析工具和防毒軟體。一旦發現上述狀況，就終止執行，否則就將勒索病毒載入系統中。

透過這些額外檢查步驟，並且將病毒直接載入執行程序當中執行，CERBER 就能避開機器學習機制的偵測。此設計對於檔案分析靜態機器學習來說將是一大考驗，因為靜態機器學習只會分析檔案的內容當中是否含有惡意行為，而不管檔案的執行方式如何。不過，若遇到多層式惡意程式防護產品，這類勒索病毒依然只能束手就擒，因為多層式防護並非只仰賴機器學習技術。

假冒公共事業機構名義發送電子郵件，內含 Dropbox 連結

一般來說，勒索病毒大多經由電子郵件散布，這個新的 CERBER 家族亦不例外。它曾假冒多家公共事業機構名義發送電子郵件，這些電子郵件內含 Dropbox 網站連結，點選之後會下載一個自我解壓縮檔案，提供該檔案的應該是駭客的 Dropbox 帳號。一旦受害者點選郵件內的連結，就會下載檔案，使系統遭到感染。下圖顯示該程式的感染過程。

圖 1：Cerber 的感染過程。

受害者下載的自我解壓縮檔案解開之後會出現三個檔案：一個是 Visual Basic 腳本、另一個是 DLL 檔案、最後一個是看似設定檔的二進位檔案。在趨勢科技所發現的其中一個樣本當中，這三個檔案的名稱分別為：「38oDr5.vbs」、「8ivq.dll」以及「x」，不過並非每個樣本都一樣。

圖 2：自我解壓縮檔案的內容。

首先，惡意程式會利用 Windows Script Host 程式來執行腳本檔案。接著，這個腳本會利用系統的 rundll32.exe 程式來載入 DLL 檔案。

此 DLL 檔本身非常單純，它只是讀取解壓縮出來的設定檔「x」，從中解密出一段程式碼，然後執行這段程式碼。DLL 檔案本身並無壓縮或加密，但它從「x」這個檔案解出來的內容無疑就是惡意程式碼。

圖 3：「x」檔案中的二進位碼開頭處。

「x」這個檔案包含了一段載入程式和一些組態設定。這個載入程式會檢查是否有以下情況:

是否在虛擬機器 (VM) 或沙盒模擬環境當中執行
系統上是否有某些分析工具正在執行
是否安裝了某些資安軟體。

只要是上述的任何一種情況，惡意程式就會停止執行。

以下是該惡意程式所檢查的工具

分析工具

系統設定 (Msconfig)
沙盒模擬環境
登錄編輯程式 (Regedit)
工作管理員 (Taskmgr)
虛擬機器
Wireshark

這個載入程式最主要的工作就是將惡意程式碼注入另一個執行程序當中執行。此處的惡意程式碼就是 Cerber 的整個程式，它可注入以下任何一個執行程序中：

C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe
C:\Windows\Microsoft.NET\Framework\v2.0.50727\regasm.exe
C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe
C:\Windows\SysWow64\WerFault.exe
C:\Windows\System32\WerFault.exe

請注意，我們已將一份 Dropbox 惡意檔案網址清單提供給 Dropbox的資安團隊，因此這些網址目前已經失效，相關的帳號也已遭封鎖。

躲避機器學習技術

各家資安產品原本早就都能夠偵測並攔截 Cerber 惡意程式，因此，歹徒若能將 Cerber 的程式碼注入某個正常的執行程序當中執行 (這就是載入程式的用途)，就能避開資安產品的行為監控機制。不過歹徒為何要重新包裝 Cerber 程式並將載入程式獨立出來呢？先前版本的 Cerber 原本就具備注射程式碼的能力，因此，為何還需要另外一個獨立的載入程式？

答案就在於，資安產業目前已開始在產品當中加入機器學習技術，並且開發出各種根據行為而非特徵碼來主動偵測惡意檔案的技術。所以，將 Cerber 程式碼重新包裝，並將程式碼注射功能獨出來，就能讓採用靜態檔案分析的機器學習機制失效。

靜態檔案分析機器學習機制在面對自我解壓縮檔案以及內容單純的檔案時，容易發生問題。因為，若不看內容，所有自我解壓縮檔案在結構上都非常相似。此外，解壓縮出來的二進位檔案若內容不太複雜，也可很能看起來沒有危險。換句話說，Cerber 的包裝方式可說是刻意為了躲避機器學習機制而設計。每當業界出現一種新的惡意程式偵測方法，歹徒就會發展出對應的躲避技巧。

不過，就算是最新的躲避技巧也無法完全避開多層式的防護。Cerber 在遇到其他偵測技巧時就會暴露出弱點，例如，未經壓縮的 .DLL 檔案可以很容易製作出特徵碼；而壓縮的檔案若是有特定的結構，也很容易分辨。使用者只要採用融合多種偵測技巧的解決方案，而非過度仰賴機器學習，就能防範這類威脅。

趨勢科技解決方案

資安威脅無時無刻不在尋找躲避資安新技術的方法，因此，使用者應避免仰賴單一技術。採用一套完整涵蓋閘道、端點、網路、伺服器等各個環節的主動式多層防護，反而更為有效。

趨勢科技端點解決方案，如趨勢科技Smart Protection Suites 和 Worry-Free Pro 都能讓使用者和企業偵測惡意檔案及垃圾郵件，攔截所有相關的惡意網址以防範上述威脅。此外還有趨勢科技Deep Discovery 可提供一層額外的電子郵件檢查，幫助企業偵測惡意的附件和網址。

搭載XGen 端點防護的趨勢科技 OfficeScan™ 結合了高準度的機器與其他偵測技術和全球威脅情報，提供完整的勒索病毒與進階惡意程式防護。而趨勢科技的機器學習技術也經過特別調校，能夠偵測具備這類躲避技巧的威脅。

入侵指標資料

此威脅相關檔案的 SHA256 雜湊碼如下：

09ef4c6b8a297bf4cf161d4c12260ca58cc7b05eb4de6e728d55a4acd94606d4 (趨勢科技命名為：VBS_CERBER.DLCYG)
a61eb7c8d7a6bc9e3eb2b42e7038a0850c56e68f3fec0378b2738fe3632a7e4c (趨勢科技命名為：Ransom_CERBER.ENC)
e3e5d9f1bacc4f43af3fab28a905fa4559f98e4dadede376e199360d14b39153 (趨勢科技命名為：Ransom_CERBER.VSAGD)
f4dbbb2c4d83c2bbdf4faa4cf6b78780b01c2a2c59bc399e5b746567ce6367dd (趨勢科技命名為：TROJ_CERBER.AL)

原文出處：Cerber Starts Evading Machine Learning 作者：Gilbert Sison