在安全領域中,虛擬機器 (VM) 已使用多年並在研究員中深受歡迎,因為惡意程式可以在虛擬機器上執行和分析,而無需每次重新安裝生產系統。如前所述,這些測試可以手動完成或在自動系統上完成,這兩種方式具有不同的優勢及劣勢。每個成品都會被記錄並且作出結論以封鎖或允許應用程式。出於類似的原因,沙箱技術和虛擬化技術已成為許多網路安全解決方案的常見組成部分。其目標旨在透過執行範例並分析其行為來尋找以前未知的惡意程式。
但是,還有更大的虛擬系統範圍。許多客戶在其生產環境中已移至虛擬機器,並且許多伺服器正在執行虛擬機器,這使得他們可以使用實際客戶資料執行日常任務。
這會在與客戶交談時出現一個常見問題:「惡意程式能偵測到其在虛擬系統上執行並結束嗎?」
有些客戶仍然希望答案是肯定的,而且希望在執行虛擬系統時不會受到惡意程式的影響。遺憾的是,這是誤解。
確實有一些惡意程式編寫者試圖偵測其作品是否在虛擬機器上執行。有一些非常簡單的技巧可用於偵測程式是否在虛擬環境中執行:
- 檢查虛擬網路介面卡的 MAC 位址以揭示廠商
- 檢查虛擬系統唯一具有的某些登錄機碼
- 檢查是否已安裝 VMware 工具等協助程式工具
- 檢查某些程序及服務名稱
- 檢查通訊連接埠及行為
- 執行特殊組譯工具的程式碼並比較結果
- 檢查系統結構的位置,如描述元資料表
惡意程式在自動化虛擬機器分析系統上執行時有一個很大的優勢。分析系統需要在合理的時間內做出決策,如果範例在前五分鐘內未表現惡意,例如略過等待循環,則系統極有可能將其視為無害。用於偵測虛擬機器的其他技巧集中在惡意程式互動。例如,惡意程式可以在按幾下滑鼠後,以及開始表現惡意或啟動裝載前等待系統重啟兩次。
少數情況下,我們遇到過惡意程式在虛擬機器上執行時不會結束,反而傳送虛假資料。這些「紅鲱」可能偵測從不存在的「指令與控制」伺服器,或檢查隨機登錄機碼。這些技巧旨在迷惑研究員或使自動化程序宣告惡意程式為良性應用程式。
大部分範例使用帶內建虛擬機器偵測的執行階段打包程式。通常這是指打包程式或加密工具將執行偵測,而非範例本身。惡意程式作者已意識到應用程式偵測到其在虛擬機器上執行時會可疑,因此他們近年來已停止使用這些功能。
惡意程式作者希望盡可能危害更多系統,但如果惡意程式不在虛擬機器上執行,則會限制其可能危害的電腦數量。因此,目前大部分範例將在虛擬機器上正常執行並且可以新增功能(如果網路罪犯希望攻擊虛擬機器),這一點不足為奇。
圖 1 打包程式工具虛擬機器偵測選項
為了使用一些實際資料(而非僅憑直覺)來回答初始問題,自 2012 年以來,我們選擇了 200,000 位客戶意見,並在真正的系統和 VMware 系統上執行每項意見,然後比較結果。我盡力篩選了在留下痕跡前損毀或已留下「紅鲱」痕跡的範例。近兩年來,偵測 VMware 的惡意程式的百分比一直徘徊在 18%,但 2014 年初,迅速上升至 28%。平均五分之一的惡意程式範例將會偵測虛擬機器並中止執行。
圖 2 每月偵測 VMware 的惡意程式範例
這指的是惡意程式仍能偵測其是否在虛擬機器上執行,但僅在少數情況下。Symantec 建議該虛擬化系統,和任何其他系統一樣,應適當獲得保護以使其免受威脅。
Symantec 工程師一直在留意惡意程式作者可能用來略過自動分析的新技術。透過結合不同的主動偵測方法,如基於評價的偵測,我們可以確保為客戶提供最大的安全性。
有關虛擬機器之威脅的更多資訊,請閱讀我們的白皮書:虛擬環境之威脅