反垃圾邮件网关-超级文档病毒识别技术

2021/8/26 23:49:16      点击:

近期以来,文档病毒十分猖獗,各种恶意文档手法层出不穷,而很多杀毒软件在病毒识别方面,居于单一特征码方式,往往滞后不少。只要病毒稍微改动一点,就识别不到,很是让人烦恼,就算使用了收费的杀毒软件,也是一样有滞后,目前更新比较快的,就是bitdefender,mcafee,nod32以及卡巴,作为国际品牌,也就那么几家了。AgentTesla算法加密型文档,历经了3次不同的算法加密,而二代算法,是目前最长久的,从6月份到现在,一直持续有此算法的样本,但还是有不少杀软没法识别新的样本。鉴于这样的情况,我们经过了三个月的实战研究,成百上千病毒文档的综合分析,写出了属于自己的算法识别,目前从国外分享的最新样本看,全部都可以识别到,而部分新的样本,国内国外都是不少杀软没法识别。因为我们的算法,是居于行为,方式,多个条件同时判断,如果都满足,就认定为危险的行为。所以达到了零时识别。而不用去等某个特征码来识别是否为病毒。

特别是对于HASH类的识别的,只要我文档打开多加个文字再保存,文件的HASH就变了,所以这种技术在杀毒上,是没用的,滞后的。而不少杀毒软件的原理,也就跟这个HASH差不多,所以病毒库没有这个HASH就没法识别。这种滞后的方式来应对积极的病毒集团,显然是不行的,所以很必有有特有的多特征码算法的识别技术,这样可以实现零时识别,样本怎么更新,都是能识别。今天我们从国外下载了最新的43个样本来挑战,我们的规则,全部识别到了,火绒只识别到了6个,而360在启用了云查杀,行为算法,QVM人工智能等等全开,也只是识别到了16个而已。

我们的杀毒机制,已经完美的对接到了我们的反垃圾网关中,所以对于文档型病毒,基本不用去担心,极少我们都识别不到的样本。目前算法差不多有十类,各种RTF利用型,XML远程下载执行型,OLE危险动作,危险宏动作,混淆行为,CVE-2017-1182;CVE-2018-0802,植入对象型,可疑密保型等等,都能识别到。

为了研究是否误判,我们还特定拿了1.56万个文档来掺杂检测,有误判的仅仅4个,基本是XML下载的那个,经过分析,文档确实是存在远程下载加载行为,而这个行为,在线加载数据,可能是恶意数据,可能也是某网站的动态数据,所以也可以算作是病毒行为。