Dynamic Code Obfuscation — 最精确地理解DCO（三）

translated from: http://searchsecuritychannel.techtarget.com/generic/0,295582,sid97_gci1241151,00.html 

http://www.secguru.com/link/attackers_hide_malicious_code_using_dynamic_code_obfuscation

     With Yuval Ben-Itzhak，chief technology officer of Finjan. The company's latest Web Security Trends Report, which covers the fourth quarter of 2006, says that dynamic code obfuscation is a dangerous emerging trend.

     之所以叫“动态”，是因为黑客们修改函数名，有各种encryption keys，一旦有个参数是动态变化地，数据库里的“签证”就匹配不上了。

     DCO是种趋势。我们需要一种技术，它能够理解代码，并在没有“签证”的情况下分析将要执行什么。我们要看到代码是否将要删除一个文件或更改浏览器的某项设置，基于此决定防与不防。常规的AV软件停滞于此，我们需要额外的工具来对付DCO。我们称这项技术为行为代码分析技术（Behavior code analysis technology）.

     如今在Finjan 的工具上,延迟是20ms，用户感觉不到地. 是的，我们确实给传输带来了延迟。但如果延迟2s，你一定说代价太高烂死了，而2ms却没有造成什么问题。The benefit is that using an application allows us to arm it with resources needed. Running this as another agent on the desktop might impact productivity.

     Finjan是这方面的领导者之一，有18项专利。微软特许了我们的技术。其它的安全商们也开始瞄准DCO。2007年我们看到很少对付DCO的产品。

 

VOMM

translated from: http://wo0wo0noop.blogspot.com/2007/01/dynamic-code-obfuscation.html

     另外地，安全专家们计划发布一个叫做VOMM的工具，作为MetaSploit framework的一部分。这个新工具将会自动化DCO过程，允许黑客们通过添加characters/line breaks/spaces来破坏杀毒软件的签证。

 

DCO

translated from: http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1246356,00.html

     代码混淆是有意地将脚本或程序源码搞地难懂。有很多种方式可以达到这个目的，比如加密，添加额外的tabs/random comments/variable names.给这样的做法一个合理的解释就是防止逆向工程。把程序搞地难懂，避免外人未授权许可就访问源码。 例如微软建议开发者们利用Script Encoder来混淆最终脚本。

     在某种程序上，这只是一种粗劣的访问控制。实际上有许多代码混淆程序设计赛，如International Obfuscated C Code Contest, 目的是写出最晦涩最混淆的C代码。不幸的是，代码混淆也为恶意代码编写者们服务，他们想隐藏和伪装代码的真实目的。黑客们的这种行为已经不是新鲜事儿了。早在90年代，秘密和多态病毒隐藏或改变它们自己的签证。这些是基于二进制代码的病毒，而非脚本，但是黑客们正把这些技术应用在混淆脚本上。Spammers一般使用混淆的JS或HTML代码来改变URL地址导向，或改变脚本所做内容。伴随着Web2.0技术的出现及JS和HTML的宽松使用，混淆代码对于隐藏浏览器漏洞，重定向函数和XSS攻击是个超有力的工具。

      庆幸的是，反毒商们也不是吃白饭的。他们聘请了一堆竞争者和启发式分析师们，还引进了一已知恶意代码签证数据库。签证是数字手印，从恶意代码中来并用来识别它。

     下面说说DCO。黑客们现在这样编码他们的恶意代码，改变函数名称、使用离散的编码值。这意味着每个访问者访问该恶意网站，将会接收到“独一无二”的病毒。这从根本上不止改变了混淆代码的威胁，而且改变了攻击者通过受害者散步病毒的速度。举个例子，VOMM模块将被加入广泛使用的MetaSploit攻击工具包。它最初是为基于JS的漏洞设计的，无疑它将扩展到能囊括其它的非二进制漏洞。This tool will mean even malicious hackers in training will be able to automate the dynamic code obfuscation process。

     数字签证对于DCO是不起作用的，因为那些随机元素使得杀毒软件在DB中找不到匹配。我们必须使用基于行为的分析技术，不使用数字签证，来分析一个程序将要做些什么。如果一引起行为MS可疑，如删除文件，就要出现警告喽。这个分析将拉长处理周期，并对效率和用户体验有所影响。这意味着网关分析可能是最好的方式（相对于桌面解决方式）。

     同时，因为社会工程仍是这些攻击中的关键元素，增强安全意识来与DCO抗衡啊！！！