检测风险软件(Riskware)的安全价值(上)——有效对抗混合执行体攻击(反病毒引擎篇)

研究报告

检测风险软件(Riskware)的安全价值(上)——有效对抗混合执行体攻击(反病毒引擎篇)

时间 :2025年09月04日


1.引子

安天AVL SDK反病毒平均每日进行12次病毒库升级,并每周发布一次升级情况通告,通告中会公布截止到本周对各类恶意代码的告警名称数量和规则数量。在2025年8月30日的病毒库升级通告中出现了统计错误,其中风险软件(Riskware)、流氓软件(Grayware)、垃圾文件(JukeFile)三个分类出现检测规则条数为零的情况,但名称总数正常。

这个统计错误源自如下原因,有使用安天引擎的合作伙伴,反馈其产品客户意见,认为安天引擎对Riskware、Grayware两类,报警过于“敏感”,建议能仅检测“传统意义”上病毒木马,因此我们进行了默认库升级策略的调整测试:默认库仅包含对感染式病毒(Virus)、蠕虫(Worm)、特洛伊木马(Trojan)、黑客工具(HackTool)和测试程序(TestFile,自检用)五个分类的规则和命名,而计划将风险软件(RiskWare)、流氓软件(GrayWare)、垃圾文件(JukeFile)三个分类的规则库调整为需要开启扩展库下载开关才能提供。

因此将三个分类的规则出库标志从Default(默认),调整为Expand(扩展),但原有输出升级通告自动化脚本的统计条件,是针对带有Default标志的规则,因此导致了升级通告的统计错误。

这个统计错误不影响安天引擎伙伴和安天产品的实际能力,发现问题后,安天也及时发布了勘误说明。但这个事件的产生原因,即反病毒引擎是否需要检测告警RiskWare这个类型,却使我们不得不谈一下安天的观点和实际工作。

作为安天反病毒引擎的研发工程师,我们希望向安天引擎生态伙伴和最终用户介绍,什么是混合执行体攻击(Hybrid Executable Entity  Attack)。有哪些正常软件已经频繁的被攻击活动利用?对于这种类型的攻击运用,传统的 “黑白分明”的检测范式是否依然有效?怎样才能明确检测“Riskware”在对抗混合执行体攻击中的关键价值?

2.什么是Riskware?

在安天提炼的恶意代码SCMP分类方法框架[1]中,我们将检测对象划分为八大基础类别:感染式病毒(Virus)、蠕虫(Worm)、特洛伊木马(Trojan)、黑客工具(HackTool)、风险软件(Riskware)、流氓软件(Grayware)、垃圾文件(JunkFile)和测试文件(TestFile)。

图:恶意代码SCMP分类方法框架

其中,Riskware是一个极其特殊且重要的类别。它被定义为:为了实现某些确定的、合法的计算机业务功能而编写的程序,其本身并非为恶意目的而开发,但其功能特性使其在特定攻击场景下极易被武器化,转化为攻击工具。其安全风险的本质并非来自于是谁开发的,而是与是“谁安装”和“用于什么目的”紧密相关。

典型的Riskware包括但不限于:

◆ 商用远程管理工具:如PCAnywhere、VNC、TeamViewer、AnyDesk等。在正常运维场景下,它们是IT管理的得力助手;但在攻击者手中,它们就变成了实现远程控制的“合法木马”。

◆ 系统诊断与配置工具:SysinternalsSuite系列工具、一些命令行的抓包诊断和驱动等。管理员用其排查故障,攻击者则用其进行系统窥探、权限提升和网络嗅探。

◆ 密码恢复工具:用于帮助用户找回遗忘的密码,但也可能被攻击者用于窃取凭证。

这些工具虽然被攻击者当作RAT木马或者木马功能组件运用,但由于其有一定的作为正常软件工具使用的用户基数,因此安天将这些归类为Riskware而非Trojan,是一种严谨的分类策略。这既确保了使用安天引擎的安全产品能够发现并告警这些工具被恶意利用的情况,为管理员提供关键线索,又避免了正常使用的用户将这些软件当成特洛伊木马,从而规避了不必要的法律风险与业务中断。将Riskware作为一种单独类别,是反病毒业界在 “绝对安全”与“可用性”之间寻求的平衡。

3.什么是混合执行体攻击?

在高级持续性威胁(APT)或定向勒索攻击中,攻击者已经不再仅仅依赖传统意义上的恶意代码武器。这些攻击者越来越多地采用一种更为狡猾和高效的战术——混合执行体攻击。

1.利用网管命令行工具:攻击者初始入侵后,使用系统内置的net.exe、sc.exe或wmic.exe等执行横向移动、用户操作和服务创建。

2.利用桌面管理工具:投放如AnyDesk、向日葵等带有合法数字签名的Riskware,建立稳定、加密的远程控制通道,其网络行为往往与正常业务流量混杂,难以被边界设备识别。

3.利用“白加黑”技术实现加载:攻击者精心制作一个合法的(“白”)带有签名的可执行文件(如某款播放器),但将其配置为加载一个恶意的(“黑”)动态链接库(DLL)。利用白文件的信任关系,绕过基于签名的安全验证,执行恶意载荷。

正如安天在对波音等遭遇的定向勒索事件分析报告[2]中所指出的,攻击者的装备清单中充斥着大量开源和商用工具。这些工具拥有合法的数字签名,能够轻易击破单纯依赖“反病毒引擎(查黑)+可信验证(信白)”的对象判定机制。混合执行体攻击模糊了黑与白的界限,迫使防御体系必须拥有更精细的对象识别和基于情境的风险判断能力。

4.Riskware与混合执行体攻击对反病毒引擎带来的挑战

传统反病毒引擎的检测机理本质上是基于文件内容特征的“黑名单”匹配。其工作模式可以简化为:

1.提取待检测文件的静态特征(如哈希、代码片段、字符串)与恶意特征库进行比对。

2.若有匹配,则报毒(黑);若无匹配,则进一步检查其数字签名等信息。

3.若拥有来自受信任颁发者的有效数字签名,则通常倾向于放行(白);若无签名或签名无效,则可能归入“未知”。

这套机制在面对混合执行体攻击时遇到了巨大挑战。其根本困境在于,它试图将世界划分为“黑”与“白”两个集合,但对于部分场景黑、部分场景白的Riskware,它难以做出精准且上下文相关的判断。

◆ 对纯黑样本:引擎可以明确报毒(如Trojan)。

◆ 对纯白样本:引擎放行。

◆ 对Riskware:一个合法的AnyDesk安装包,在公司的软件仓库中是“白”的;但被攻击者通过钓鱼邮件投递到财务人员的电脑上并静默安装,它就是此次攻击事件中关键的“黑”组件。传统引擎若因其有签名而一律放行,就会纵容攻击;若因其曾被滥用而一概拦截,又会误伤业务。

这就要求现代反病毒引擎必须具备更精细的检测颗粒度,不能止步于“黑/白”二值逻辑,而要能识别出潜在风险——即Riskware,并将其决策权部分交给基于上下文的更高阶判断逻辑。

5.安天的做法

面对这一挑战,安天的解决方案是:在引擎层直面复杂性,通过精准命名和策略开放,将判断权赋能给具备研判能力的用户及其安全体系。

1.精准报警,区分意图:当安天反病毒引擎检测到一个在攻击中常被利用的正常软件时,它会给出Riskware/[平台].[家族][核心行为]的报警名称(例如Riskware/Win32.AnyDesk)。这与Trojan、Worm等带有明确恶意目的的命名进行了严格区分。这相当于告诉管理员:“发现一个高风险工具,请注意审查其安装和运行的合法性!” 这为安全运维团队提供了至关重要的调查线索和响应起点

2.策略开放,赋予灵活:对于集成安天AVL SDK引擎的生态客户,我们提供了极大的策略灵活性。客户可以基于报警名称,单独为Riskware类别定义与其他恶意软件类型截然不同的处置策略。例如:

◆ 在严格管控的生产服务器上,可以设置为拦截并告警

◆ 在开发人员的终端上,可以设置为记录日志但不弹窗告警,避免影响效率。

◆ 对于确信无需监控的环境,甚至可以临时关闭对该类别的检测。这种灵活性确保了安全策略能够贴合不同企业的实际业务需求。

3.云地结合,智能研判:如果客户接入了安天的云查服务,风险判断将变得更加智能。云系统可以综合文件的全球信誉情报、企业内部的私有白名单以及该文件出现的上下文环境进行综合判断。例如,一台域控制器主动分发安装的VNC程序很可能的是合法的,而一个从未见过的IP地址通过网页下载触发的VNC安装则极可能是恶意的。云服务可以辅助实现“对用户自身正常部署使用的软件不告警”,大幅降低误报。

此次“升级通告事件”中提到的默认库调整,正是安天响应部分客户希望减少“敏感度”反馈的举措之一。我们允许客户选择只加载最核心的Virus、Worm、Trojan、HackTool库,以满足其对极致性能或特定合规场景的需求。

然而,从对抗现代威胁的整体视角看,一个不能有效跟进、分析并检测Riskware的反病毒引擎,绝非一个合格的反病毒引擎它无法为用户提供对抗混合执行体攻击所必需的纵深视野和关键情报。检测Riskware,并将其与明确恶意代码区分管理,是现代终端防护体系从“幼稚”走向“成熟”,从“粗放”走向“精细”的关键标志,也是安天引擎为守护客户数字资产所提供的深层价值所在。