关于反病毒引擎间不一致的研究

逆向病毒分析 1年前 (2023) admin
265 0 0

工作来源

ARES 2022

工作背景

没有任何一种反病毒解决方案可以普遍有效地抵御各种威胁,不同的解决方案会在检测率与检测分类上产生显著差异。

每年在野传播的恶意软件超过 8 亿个,且数量仍在持续增加。早期检测恶意软件与确定恶意软件家族归属,是处理安全事件与降低感染风险的关键因素。

工作准备

使用 MalwareBazaar2 截至 2020 年 10 月 3 日的样本库,共计 103073 个文件。使用 2018 版 EMBER 数据集的训练样本中选择 10 万个文件。

通过 VirusTotal、Hybrid-Analysis、MalwareBazaar 与 URLhaus 获取与这些文件相关的信息。

MalwareBazaar2 中样本的恶意软件归属如下所示:

关于反病毒引擎间不一致的研究

没有默认提供标签的情况下标记为未知,大约占到 15%。但大多数(55%)样本都是归属于 Heodo/Emotet 与 AgentTesla 的,而 58% 的家族只有不到 6 个样本。

样本都比较“新鲜”,很大比例都是最近的:

关于反病毒引擎间不一致的研究

约一半的样本文件为 EXE 格式、20% 的样本文件为 Word 文档、15% 的样本文件为压缩文件、0.2% 的安卓可执行文件。

关于反病毒引擎间不一致的研究

EMBER 数据拥有 1742 个家族,占比最高的家族为 installmonster 与 xtrat。大约 68% 的家族只有不到 6 个样本。

关于反病毒引擎间不一致的研究

样本也都比较“新鲜”,均为 2018 年后的:

关于反病毒引擎间不一致的研究

工作评估

样本检出率

检测结果分为几类:

  • clean:恶意样本判定为非恶意

  • detected:恶意样本被判定为恶意且有标签

  • N/A:恶意样本被判定为恶意且没有标签

  • error:未知错误发生

  • failure:扫描失败

  • not_found:未发现该样本相关信息

  • timeout:返回结果超时

  • type unsupported:引擎不支持该文件类型

MalwareBazaar 的分布如下所示,大约 62% 的引擎可以将超过一半的样本检出为恶意,大约 25% 的引擎可以将超过 90% 的样本检出为恶意。

关于反病毒引擎间不一致的研究

EMBER 的分布如下所示,大约 66% 的引擎可以将超过一半的样本检出为恶意,大约 26% 的引擎可以将超过 90% 的样本检出为恶意。

关于反病毒引擎间不一致的研究

作者对引擎进行了匿名化处理,但表示检出效果最好的是拥有相当市占率的商业产品。值得注意的是,大约 50% 的引擎无法识别三分之一的恶意软件。这表明依赖的防护技术仍然是不足的,特别是考虑到每年数亿的恶意软件数量。

家族检出率

MalwareBazaar 中,有 17/244 个家族的检测率低于 50%、有 80/244 个家族的检测率大于 75%。Emotet 与 AgentTesla 的检出率分别为 62% 与 55%。

如下所示,Phorpiex、Adware.Generic、Adware.ExtenBro 与 Hakbit 家族的标准差非常高,这表明这些家族可变性相当大。而 sLoad、Qealler、STRRAT 与 QNodeService 的最大值与第三四分位相对较低,这表明这些家族的检测逃避能力较强。

关于反病毒引擎间不一致的研究

EMBER 中,442/1742 个家族的检测率低于 50%。这些家族中大约 86% 的家族,所包含的样本都少于 10 个。有 211/1742 个家族的检出率大于 75%。installmonster 与 xtrat 家族的检出率分别为 70% 与 73%。

关于反病毒引擎间不一致的研究

分类检出率

为恶意软件的分类建立同义字典:

关于反病毒引擎间不一致的研究

分类统计如下所示:

  • 0:无法确认类型

  • 1:确认仅有一种类型

  • 2:确认两种关联类型

  • 3:确认三种关联类型

  • 4:确认四种关联类型

  • 5:确认五种及五种以上关联类型

MalwareBazaar 数据中,75% 的情况下可以被归类为两种与两种以上类型。

关于反病毒引擎间不一致的研究

最常见的类型共现,如下所示:

关于反病毒引擎间不一致的研究

EMBER 数据中,89% 的情况下可以被归类为两种与两种以上类型。

关于反病毒引擎间不一致的研究

最常见的类型共现,如下所示:

关于反病毒引擎间不一致的研究

家族检出率

为恶意软件的家族建立同义字典:

关于反病毒引擎间不一致的研究

MalwareBazaar 数据中,39% 的情况下检出一个家族,55% 的情况下检出两个及两个以上家族。

关于反病毒引擎间不一致的研究

最常见的家族共现,如下所示:

关于反病毒引擎间不一致的研究

EMBER 数据中,9.5% 的情况下检出十个及以上家族。

关于反病毒引擎间不一致的研究

最常见的家族共现,如下所示:

关于反病毒引擎间不一致的研究

工作思考

现有的反病毒解决方案,即使达到 90% 的检出率,仍然会导致特别大数量的恶意软件被放过。并且,大多数反病毒解决方案并不能保证进行正确的分类,无论是类型或者是家族。

原文始发于微信公众号(威胁棱镜):关于反病毒引擎间不一致的研究

版权声明:admin 发表于 2023年4月20日 上午10:00。
转载请注明:关于反病毒引擎间不一致的研究 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...