在过去的 16 年里,VirusTotal 每天要处理来自 232 个国家/地区超过 200 万个⽂件。VirusTotal 利⽤庞大的数据结合社区提供的上下文,提供对威胁演变的理解。
通过合法域名分发
通过合法服务分发恶意软件,这样可以降低受害者的戒心,也可以避免触发使用恶意域名带来的告警,还能够防止执法机构拆除攻击者搭建的攻击基础设施。
在 Alexa 的 TOP 1000 域名中,共发现了 101 个域名分发了大约 2.5 万个可疑文件(至少被五个反病毒软件检出)。
在 2022 年发现的样本中,分发渠道涉及合法域名的如下所示:
有效证书
在 VirusTotal 的数据中,自 2021 年以来有超过 100 万个带有证书的样文件被认为是可疑样本(超过 15% 的检测引擎将其检测为恶意样本)。但是,并⾮所有样本都带有有效证书,攻击者可能会重复使⽤已撤销或⽆效的证书,而通常受害者并不会检查证书链的有效性。VirusTotal 中的这些样本,有近 13% 在上传时都没有使用有效证书。
带有证书的文件中超过 99% 都是 PE 可执行文件或者 DLL 文件,下图是 VirusTotal 中带有证书的恶意 PE 文件数量变化的曲线,峰值出现在 2022 年 1 月。
OpenInstall PUA,这些样本都是由 OI Software, Inc 与 OpenInstall, Inc 签名的 WinZip 安装程序。⼤约 95 万个样本在⾸次提交时带有有效证书。下图显⽰了 TOP 10 的证书颁发机构,超过一半都集中在 Sectigo。
Skill on Net 的虚假 Adobe Flash Downloader 有关。攻击者会窃取合法签名证书来部署恶意软件,以下时间线显⽰了使⽤被盗的 Nvidia 证书签名的恶意软件的演变过程,存在两个峰值:
伪装成合法软件
根据图标的相似性,查找伪装成合法软件的恶意样本。选取了 25 个常用软件的图标,下图为此类样本数量变化的曲线。
根据网站的 favicon 的相似性进行分析,恶意 URL 模仿合法网站最多的如下所示:
与合法软件捆绑在一起的恶意软件
攻击者通过将恶意软件打包到安装包中,将恶意软件伪装成合法软件的一部分。当攻击者能够触达官方下载服务器、程序源代码或者证书时,就可以展开供应链攻击。
在 VirusTotal 中检索了与提供软件下载服务的 35 个合法域名相关的样本,从 2020 年至今共有 8 万个文件,其中大约 80 个(0.1%)文件被认为是可疑文件。
此外,还利用执行、压缩、PE 资源与 PCAP 等构建文件之间的关系,这样找到可疑的父文件。如下所示,为合法 Telegram 安装程序的父文件。
总结
VirusTotal 总结了四种在恶意软件中常见的信任滥用方式,这也确实反映了当今的技术演变趋势。当积累与沉淀了海量的数据后,事实上就可以从多个角度来对数据进行分析与总结,获得更好的可见性。
点击阅读原文即可下载 VirusTotal 原始报告。