揭秘恶意软件及其攻击者

　　【eNet硅谷动力专稿】攻击者一直在寻找隐藏恶意软件的方法，以便使他们的攻击行为不被发现，因此，Java描述语言成为了他们将恶意软件植入浏览器的有力工具。

　　对于这种日益流行的恶意软件形式，用户是很难发现他们的。但是Arbor Networks公司的高级软件和安全工程师Jose Nazario说，现在对于每一个以Java描述语言为终端代码的有效载荷来说，都有一个相匹配的解码器来拆开它。Nazario将在随后的CanSecWest会议上讨论他对逆向工程Java描述语言的研究。

　　“他们利用Java描述语言来使正在运行的程序乱码，它看起来就像是加密了，因此研究者们看到之后说他们摸不着头脑，”Nazario说。“然后恶意软件就能够骗过安全扫描仪。但是并不是无懈可击的：解码器与之相随因此浏览器能够解码Java描述语言并且运行它，因此我们可以很轻易的发现这一解码器。”

　　一旦你感染隐藏在Java描述语言外衣下的恶意软件，你就可以深入的分析攻击者特点，找出恶意软件的分布点，然后就可以将它们关闭了——甚至能够查明攻击者下一步的数据，当然也包含最后阶段的数据。“我们可以判断是否有间谍软件，信息流向哪里？如果黑客们从一台计算机上偷盗信息去将其通过G-mail的帐户发送，我们就可以通知那的安全人员，并且告知这些就是用来接收被偷盗信息的邮箱。

　　Nazario说他和他的同事也发现了在线聊天系统（IRC）僵尸，并且也关闭了它们。“如果我们不知道它们在干什么，我们就不能抓住它们。”

　　攻击者已经将他们的焦点转向了客户机程序，也就是网络浏览器。“他们等着你使你变成他们的代理人。”但是现在更多的攻击者将目标瞄准了浏览器本身，他说，“我们看到很多攻击者对此很感兴趣。”

　　现在大概有10种主要的加码/解码工具，根据Nazario的观点，包括HTML保护者，高级HTML保护者和脚本庇护所（ScriptAsylum）等.

　　Nazario说，能够离开发出逆向工程恶意软件能够使分析者发现攻击者是否是在追踪银行密码，记录键盘使用记录，或者是安装僵尸软件。“有一些攻击者正在描绘我们所做的事情。”

　　他说，如果攻击者仅仅只是重复利用现有的恶意软件或者知识作小小的修改的话，那只是着低水平的技能。但是现在的危险就是它能够传播的更快，虽然最后我们能够很轻易的侦察和处理。

　　一般说来，自己编写代码的攻击者更加老到，并且也更加坚定。“我们发现一小撮人自己编写攻击代码。我们知道研究这种技术的对手，他们具有很强的动机性，并且他们能从中获得大量的利益。”

　　每个攻击者都有他们自己的特色，在他们的代码中有特定的技术能够确认是同一个攻击者做的坏事。“他们有自己的典型特点。他们拥有自己的独特的技术。他们也有独特的意见。”

　　但是如果在以Java描述语言为基础的攻击中夹杂了VB语言，那么解码方法就无济于事。“现在最大的问题就是分辨乱码的VB脚本，”有时是手工改变的。

　　除了Arbor公司的Nazario和他的同事之外，Websense 和SANS 因特网风暴研究中心也已经在博客上论述了怎么样解码乱码的Java描述语言代码。但是Nazario说即使是有一个更广的逆向工程操作，攻击者仍然会找到缺陷。“我们已经发现了一些反逆向工程技术”他说。