<论文笔记>Abusing File Process

滥用恶意软件检测器文件处理过程中的弱点完成攻击

引用：

Jana S, Shmatikov V. Abusing file processing in malware detectors for fun and profit[C]//Security and Privacy (SP), 2012 IEEE Symposium on. IEEE, 2012: 80-94.

研究内容：

恶意软件检测器的文件处理过程中的弱点利用及防范思考

背景：

越来越多的杀软入侵预防系统都被安装在企业网关和邮件服务器，基于云计算的恶意软件检测服务也越来越受欢迎，因为这样可以更及时的提供检测并且维护简单，这就带来了文件处理过程的不一致性：

• the discrepancies between the heuristics**(Heuristics就是指在入侵检测中使用人工智能思想) **used by detectors to determine the type of the file and those used by the endhosts(利用主机与主机间分类器差异来更改文件类型)
• the discrepancies in the parsing of executables and applicationspecific formats between malware detectors and actual applications and operating systems attacks(利用检测器和应用系统解析器差异来更改文件结构)

本文所提出的Chameleon attacks和Werewolf attacks两种攻击方法属于"语义差异"类攻击的实例，但其原理与其他攻击方法不同，且利用针对它们的检测方法去检测C和W无效

方法：

• 检测器的文件处理过程

  
  File processing in antivirus scanners
  

  第一个步骤为CA，第二个步骤为WA

• CA
  • 将恶意文件隐藏于一个检测器不支持的类型中
  • 将恶意文件的类型伪装成另一个检测器可信的类型
• WA
  • 对归档文件攻击实例:错误的校验码/误导性长度/多重流/随机垃圾/符合多种格式的文件
  • 对未归档文件攻击实例:假字节序/空VBA项目名/错误的压缩复位间隔/绕过特定部分的签名
• 对CA的防范
  • 通过匹配多重类型并对全部匹配到的类型进行处理来识别文件
  • 将文件类型规范化
• 对WA的基于网络的防范
  • 创造一个更完美的解析器
  • 不在检测其中解析文件
• 对WA的基于主机的防范
  • 按访问扫描
  • 将主机与应用程序紧密集成

创新点：

1.从文件处理过程入手，发现两种逃避检测的方法
2.以矛攻盾，在实际测试中寻求防范方法