偵測系統核心木馬技術有新進展

賽門鐵克資安研究室首席工程師Matthew Conover來臺展示偵測系統核心木馬（Kernel Rootkit）的新技術，將在新的防毒產品上運用這個偵測技術，讓防毒軟體可以發現過去難以偵測的「目標性（Target）木馬攻擊」。

Matthew Conover指出：「最近出現新的木馬攻擊手法，不只針對特定目標攻擊，還使用了難以發現的核心木馬感染技術，因而傳統的防毒偵測技術，很難完全發現這些隱藏在系統核心中的木馬程式。」

在木馬感染技術中，一般防毒軟體的系統執行權限，多半只能發現函式庫等級（Library Level）或應用程式等級（Application Level）的木馬，而一般防毒軟體最難預防的，正是隱藏成系統元件或驅動程式的核心木馬程式。他表示，通常只有在這些核心木馬程式發生了破壞系統的行為，否則防毒軟體很難偵測到。

Matthew Conover解釋最新出現的目標性木馬攻擊，他說：「只有遇到特定企業或機構的使用者，木馬程式才會啟動感染機制，例如顧客傳一份申請文件給銀行時，顧客打開文件不會中木馬，但是銀行行員打開文件才會啟動木馬，讓木馬潛伏期更長，風險也更大。」

過去偵測核心木馬的技術，是建立一個追蹤環境，觀察未知驅動程式的執行結果，但因為追蹤環境只是模擬使用者的一般系統環境，對需要特定條件才會啟動的目標性木馬，因為會誤判為正常的驅動程式而沒有效果。Matthew Conover所開發的偵測技術，則是建立一個監控未知驅動程式與系統溝通過程的Sandbox環境，可以在正常的使用環境中，觀察可疑程式與系統正常元件的資訊傳遞，進而發現異常的元件使用行為，例如可以發現不需要使用者輸入資料的驅動程式，卻呼叫了鍵盤指令，那這個程式就有可能是要偷取使用者輸入密碼的木馬程式。

目前賽門鐵克已經使用這個技術，來累積木馬程式的可疑行為特徵。Matthew Conover表示：「賽門鐵克會先在防毒程式中使用實驗室累積的行為特徵資料來偵測，下一階段才應用在防毒程式中，來監控未知的木馬程式。」文⊙王宏仁