新闻链接：http://www.seehand.com/news/650.html
   新闻时间：2015-5-6
   新闻正文：
    随着越来越多的公司部署沙箱技术来捕获先进的恶意软件，许多攻击者将代码添加到他们的程序中来检测攻击程序是否在一个虚拟计算机上运行。

    据安全公司Seculert在5月1日发布的报告称，一个众所周知的被用来窃取数据和银行账户信息的工具背后的攻击者已经通过升级代码添加了一个基本的，但十分有效的功能来规避恶意软件分析系统。

    报告发现，被称为Dyre的恶意软件对其所运行的系统的处理核心数量进行检测。虽然几乎所有的现代计算机都有多个处理核心、虚拟机或者沙箱，但恶意软件研究人员检测和分析恶意软件程序通常在只运行一个处理核心时更有效。Seculert公司的首席技术官Aviv Raff表示，这个代码很简单，而且很容易被检测到，但是攻击者在安全防御人员修改他们的程序之前将占上风。

    Aviv Raff说，攻击者真的不需要做太多，它很简单，仅仅是三四行代码。这个代码虽然很简单却能很有效的解决问题。对沙箱环境的制造者来说，将需要时间做出应对。

    Dyre恶意软件目前位于窃取金钱的恶意软件之首。据安全管理公司Dell Secureworks最近的一个报告称，虽然从技术上说Dyre是一个信息窃取程序，Dyre还是一个顶级的银行僵尸网络的基础。
   
    根据该报告，Dyre恶意软件已经感染了至少12000个目标。据IBM Security公司称，Dyre恶意软件，也被安全公司称为Dyre Wolf，其背后的攻击者专注于有大额支出的企业财务部，并且窃取了超过500000美元。

    这个恶意软件通常是通过一个名为Cutwail的垃圾僵尸网络来传播，起初是被用来链接下载存储于云服务的恶意软件。现在，Cutwail垃圾僵尸网络将安装一个被称为Upatre的下载器，然后再安装Dyre恶意软件。Dyre恶意软件使用网络注入代码片段，将Web对象插入代码页，来窃取受害者的银行信息。

    虽然计算操作系统所使用的处理核心数量是检测沙箱环境的一个简单方法，但这个方法很有效。在2005年4月，英特尔发布了第一个双核处理器，奔腾处理器极端版840，可以增加处理能力而不会显著的增加能耗。现在，英特尔的主流处理器具有双核或四核，而且几乎所有的计算机系统都使用多个处理器内核。

    一旦安全防御人员修改了他们的分析方法，攻击者可以转移使用其他的技术来检测虚拟环境，以确定是否他们的代码是运行在一个沙箱环境。常见的检测虚拟环境的技术包括寻找特定的流程和模块名称、使用长指令以及识别用来发送信息给主操作系统的后门通讯方式。

    Seculert安全公司的Raff说，这些技术的增加表明虽然越来越多的企业正在使用沙箱来测试潜在的恶意软件，还是需要采取其他的技术。

    他说，面对今天的攻击威胁，仅仅有一个沙箱来防御是不够的，你必须有额外的补偿控制安全措施。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)