2009年12月8日星期二
英文Shell Code让恶意代码更难发现 zz
在计算机安全领域,Shell Code是指一种攻击注入代码, 它被攻击者利用系统漏洞送入系统中执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户。Shell Code通常是用机器码编写的,鉴于空间的有限性,此类代码向来十分的精练。攻击者使用的注入代码很少自己编写,都是采用同样的Shellcode,因此 安全厂商可通过把常见的Shellcode的指纹提取出来,作为验证攻击行为的“特征”。为了避开检测,有些攻击者也会使用的简单方法去隐藏 Shellcode,比如简单移位,执行前反向移位。
在上周举行的ACM计算机和安全通信会议上,安全研究员Joshua Mason、Sam Small、Fabian Monrose和Greg MacManus提出了“English Shellcode(PDF)”,使用维基百科和其它公有作品的内容训练引擎, 利用引擎自动的将任意x86 shell code变成外表看起来像是Spam的英文语句(在一般硬件上可在1个小时内完成),但仍然能像本地码那样执行。研究人员相信这种方法将让安全工具更难以 鉴别出恶意代码,他们表示这项研究的主要目的是促进讨论,启发防御此类新注入攻击方法的出现。
在上周举行的ACM计算机和安全通信会议上,安全研究员Joshua Mason、Sam Small、Fabian Monrose和Greg MacManus提出了“English Shellcode(PDF)”,使用维基百科和其它公有作品的内容训练引擎, 利用引擎自动的将任意x86 shell code变成外表看起来像是Spam的英文语句(在一般硬件上可在1个小时内完成),但仍然能像本地码那样执行。研究人员相信这种方法将让安全工具更难以 鉴别出恶意代码,他们表示这项研究的主要目的是促进讨论,启发防御此类新注入攻击方法的出现。
// 发贴者:放牛娃的春天 @ 十二月 08, 2009 
订阅 博文 [Atom]