Android逃逸技术汇编

360烽火实验室

摘    要

  • 传统逃逸技术涉及网络攻防和病毒分析两大领域,网络攻防领域涉及的逃逸技术主要为网络入侵逃逸技术,病毒分析领域涉及到的逃逸技术主要包括针对静态分析、动态分析的木马逃逸技术。
  • 本文介绍的Android木马逃逸技术研究了针对用户感知、杀软查杀、沙箱动态养殖和人工分析的各种逃逸技术。
  • 大多数Android木马的作恶途径是长期留存用户终端,通过持续性作恶获取收益。
  • 为达到稳定留存的目的,大多数Android木马使用的逃逸技术多为复杂的组合技术,并且通过木马的自更新技术不断升级逃逸技术。
  • 总结了Android木马逃逸模型来描述Android木马逃逸的一般性原理。
  •  我们将Android木马生命周期内的每个环节串联起来,形成了Android木马逃逸链,而对应的感知元素串联起来即Android木马的(被)感知链。
  • Android木马的逃逸技术具有明显的针对性,按照其针对的目标可以分为杀软逃逸技术、沙箱逃逸技术、对抗分析工具的逃逸技术、针对用户感官的逃逸技术和反追踪逃逸技术五个大类。
  • 杀软逃逸技术主要涵盖针对杀毒引擎规则和安全软件的一系列逃逸技术。从长期的分析工作中,我们发现木马更加偏向使用多种逃逸技术组合,以增强其自身的逃逸能力。
  •  沙箱逃逸技术涵盖了针对沙箱环境和沙箱规则的逃逸技术。针对沙箱环境的检测包括系统属性、硬件属性和网络环境等方面,针对沙箱规则的逃逸涉及网络请求、触发条件、词法分析等方面。
  • 针对分析工具的逃逸技术主要包括针对静态分析工具、动态分析工具和抓包工具的逃逸技术,以及高级对抗方式——加固。
  •  针对用户感官的逃逸技术主要针对用户视觉和听觉进行伪装和欺骗,或骗取用户点击运行木马,或掩盖木马运行后的痕迹。
  •  反追踪技术针对分析师或网络执法人员的