《安天技术文章汇编》恶意代码加载器专题分册出刊

时间:2024年07月10日


近日,安天发布了《安天技术文章汇编(三·五)恶意代码分析卷-恶意代码加载器专题分册》,这也是安天发布的第26本技术文章汇编。以下为本分册出刊序言,点击文末了解分册下载方式。

分册出刊序言

网络空间对抗的专属范式是“运行对抗”。在安全防护工作中,至关重要的防御点,就是识别、拦截攻击执行体的运行突防,只要攻击执行体无法完成加载运行,其就依然是静态的数据,防御的主动权就依然在防御者手中。

在各种运行突防方式中,依托恶意代码加载器(以下简称“加载器”)加载最终载荷是一种典型手法。随着网络攻击活动的分工化、攻击工具的模块化,加载器已经形成了几大常见的家族,并频繁出现在各种攻击活动中。攻击者利用加载器绑定加密后的攻击载荷形成新的执行体,以试图绕过反病毒引擎的静态检测。加载器在前导执行过程中实施环境判断、主机安全软件探测,来实施针对性对抗策略,最终实现解密、释放、执行、注入最终攻击载荷,通过Rootkit机制保护落地载荷等行为。

加载器的核心功能包括持久化驻留机制、无文件内存执行能力以及多层次规避检测技术。为逃避安全检测,加载器普遍采用多维度对抗技术,包括混淆加密、进程注入、权限提升、持久化驻留及反调试分析等核心手段。例如: XLoader 通过高强度加密保护核心代码与关键数据,有效对抗静态分析与内存检测; DBatLoader 利用图片隐写术将恶意载荷嵌入多媒体文件,实现基于“无毒格式”的隐蔽; SmokeLoader采用分层密钥管理体系,结合异或与RC4算法对多阶段组件动态加解密; HijackLoader 则依据载荷属性配置自适应执行路径,提供三类差异化注入策略; ArmouryLoader 则通过多层加密壳与反虚拟机检测技术,构建对深层检测机理的防御规避能力。因此,对抗加载器的能力是反病毒引擎和主防拦截能力的重要试金石。

安天CERT持续跟踪各主流加载器的版本演进,进行深入逆向分析,为安天AVL SDK反病毒引擎提升加载器的检测能力,对安天智甲终端防护的拦截能力持续迭代提供支撑。从XLoader的加密机制解析到DBatLoader的图片隐写术溯源,从SmokeLoader的多算法加密逻辑拆解到HijackLoader的载荷运行策略剖析,以及对ArmouryLoader的复杂技术特性挖掘,我们在分析工作中依托逆向分析与环境验证;聚焦加载器技术链条的细节,从加密密钥生成逻辑到注入点选择策略,尽可能挖掘到更多的技术细节。将研究成果转化为对安天AVL SDK反病毒引擎的检测规则、模块与模型,以及主防规则的改进与更新,以强化反病毒引擎的识别能力与主防的拦截时效。相关分析工作成果也汇入安天威胁情报平台,同时为安天澜砥威胁检测分析垂直大模型(以下简称“澜砥大模型”)训练提供高质量、深维度的标注数据,提升澜砥大模型在恶意代码识别、对抗模式推理及自动化归因领域的能力。

安天CERT在过去6个月中,公开发布了五种常见加载器的深度分析报告,完成了分析成果发布的阶段性目标,现将五篇报告收录到技术文章汇编中,汇聚成册。《安天技术文章汇编》的第三卷为恶意代码分析卷,主要收录安天原创的样本分析报告,已经内部出刊四个分册。我们将五篇加载器系列分析报告汇编形成《安天技术文章汇编(三·五)恶意代码分析卷-恶意代码加载器专题分册》。本册开始,安天后续出刊的技术汇编均将以PDF格式在网上公开发布(《安天技术文章汇编(十)高级持续性威胁(APT)卷》除外),同时我们还会保持少量的纸刊。

威胁分析始终是安天最重要的生产实践活动,我们的工作包括:持续展开细粒度恶意代码分析,针对APT、定向勒索攻击活动持续展开复盘还原、追踪溯源等。尽管我们和同仁们一样期待,更多的工作可以通过大模型来实现。但基于我们过去几年在澜砥大模型上从挫折到局部突破的实践过程来看。我们更倾向于认为,在威胁分析这个细分领域,在安全工作者为大模型创造了足够多、高质量的深源知识与数据前,不要幻想大模型能够全面代替资深分析工程师完成高质量、全自动化的工作。本册每一篇样本分析报告后都附带输出了澜砥大模型的分析结果,这固然有展示澜砥大模型能力的考虑,但更关键的是,我们要不断地通过标注质量的提升、高质量分析报告的学习,提升分析成果输出的精度,检验和约束其带来的幻觉。同时也希望研究者通过对照人工分析和大模型自动分析的结果,看到大模型在深度威胁分析方面还有更长的路要走。

威胁分析是艰苦卓绝的工作,其极容易在产业浮躁时,成为一种炫技展示;或产业消沉时,沦为被放弃的成本项。当前,中国网安产业在二进制和内核层面的分析人才已经存在着断层的风险。我们坚持分析工作是一种能力维度的自我坚持和支撑威胁检测防御值的必须行为。而持续发布分析报告不仅是提供文献化成果,更是为推动更高质量特征工程与知识工程发展,并为用人工智能实现更深度的自动化威胁分析供给深源知识。

我们需要尽快完成新的人机时代交替,来遏制和扭转产业在分析能力上的衰退倾向。就像打开信息时代之门的先贤之一,控制论创始人诺伯特·维纳所期待的“在一个衰退周期中,创造出一个区别于整体趋势的局部组织区域”。

《安天技术文章汇编》本分册编辑小组

2025年7月

获取方式

安天微信公众号后台回复【加载器分册】获取PDF版本。