機器學習並非一時的噱頭,而是一種不需人為介入就能讓電腦自動學習資訊的技術。它利用演算法來吸收大量資訊 (也就是訓練資料),從中發掘一些獨特的模式,接著再分析這些模式,加以分類,進而對未曾見過的狀況做出預判。傳統的機器學習都是讓電腦學習如何解讀資訊,因為其資料都已經過人工標記,所以基本上,機器學習就是讓一個程式透過人工標記的資料模型來學習。
這項技術的獨特之處在於機器會培養出自己的直覺:藉由反覆接觸資料並從中歸納出規則,如此就不必每次都要針對新的狀況撰寫程式。但機器學習也不是沒有缺點:機器學習有可能出錯,因此應用時必須特別小心。1
在大數據當道的今日,機器學習顯得特別有用。我們日常當中每天都會接觸到機器學習,其應用包括:偵測電話語音當中的指令、Spotify 上的歌曲推薦、Amazon 上的購物推薦,還有 Waze 的最快路徑推薦等等。 繼續閱讀
自從現身以來即一直不斷演進的 CERBER勒索病毒 Ransomware (勒索軟體/綁架病毒)最近又出現新的變種 (趨勢科技命名為:VBS_CERBER.DLCYG、RANSOM_CERBER.ENC、RANSOM_CERBER.VSAGD 及 TROJ_CERBER.AL),這次它使用了一個獨立的勒索病毒載入程式來躲避機器學習機制的偵測。
一旦偵測到系統正在虛擬機器或沙盒模擬環境上執行, 即終止執行
CERBER 勒索病毒 Ransomware (勒索軟體/綁架病毒)家族已開始採用一種讓自己更難被偵測的新技巧:專為躲避機器學習技術而設計的獨立載入程式。這個載入程式可將 CERBER 的程式碼注入某個執行程序當中執行。
CERBER 變種會經由電子郵件進入使用者系統,郵件內含 Dropbox 網站連結,點選之後會下載一個自我解壓縮檔案,一旦執行了該檔案,系統就會遭到感染。此勒索病毒包含多個檔案,最值得注意的是一個勒索病毒載入程式,該程式負責檢查目前系統是否在虛擬機器或沙盒模擬環境上執行。除此之外,還會檢查系統上是否安裝了某些分析工具和防毒軟體。一旦發現上述狀況,就終止執行,否則就將勒索病毒載入系統中。
透過這些額外檢查步驟,並且將病毒直接載入執行程序當中執行,CERBER 就能避開機器學習機制的偵測。此設計對於檔案分析靜態機器學習來說將是一大考驗,因為靜態機器學習只會分析檔案的內容當中是否含有惡意行為,而不管檔案的執行方式如何。不過,若遇到多層式惡意程式防護產品,這類勒索病毒依然只能束手就擒,因為多層式防護並非只仰賴機器學習技術。
假冒公共事業機構名義發送電子郵件,內含 Dropbox 連結
一般來說,勒索病毒大多經由電子郵件散布,這個新的 CERBER 家族亦不例外。它曾假冒多家公共事業機構名義發送電子郵件,這些電子郵件內含 Dropbox 網站連結,點選之後會下載一個自我解壓縮檔案,提供該檔案的應該是駭客的 Dropbox 帳號。一旦受害者點選郵件內的連結,就會下載檔案,使系統遭到感染。下圖顯示該程式的感染過程。
圖 1:Cerber 的感染過程。
受害者下載的自我解壓縮檔案解開之後會出現三個檔案:一個是 Visual Basic 腳本、另一個是 DLL 檔案、最後一個是看似設定檔的二進位檔案。在趨勢科技所發現的其中一個樣本當中,這三個檔案的名稱分別為:「38oDr5.vbs」、「8ivq.dll」以及「x」,不過並非每個樣本都一樣。 繼續閱讀
在上一篇的文章:《行動裝置勒索病毒》躲進口袋的壞東西,Android勒索病毒數量增加了140%中,我們探討了惡意軟體如何鎖住設備以及如何說服受害者付錢的恐嚇手法。現在知道了壞人能夠做什麼,接下來要討論的是資安廠商用來阻止它們的偵測和解決技術。我們希望透過與其他研究人員的技術分享來提升業界解決行動勒索病毒的整體知識。
偵測和解決
檢視行動勒索病毒 Ransomware (勒索軟體/綁架病毒)的技術特性讓我們得以設計和做出正確的偵測和解決技術。有許多種方法可以處理這問題:我們的想法是這些惡意特性必須得出現在應用程式的程式碼中。我們利用靜態分析加上解決特殊狀況(例如透過映射進行混淆)的一些技巧。
圖1、各種找出行動勒索病毒的方法
