PDF Malware Scanners
鉴于现有的各种逃逸技术,系统地评估逃逸对恶意软件扫描仪的影响仍然是一个开放的挑战。
提出了一个评估框架,可以制造应用一个或多个逃逸技术的恶意PDF文档,并对41个先进的恶意软件扫描仪进行了评估。
贡献:评估
2.1 Rsearch Questions
- RQ1:在逃逸方面,扫描仪区别恶意和良性文件的精度
- RQ2:逃逸技术针对指定扫描仪的有效性
- 多数scanner评测结果相近,可能用的是同一决策机制,或者相同的分析算法
- RQ3:哪些逃逸技术最有效
- 静态逃逸,最有效的是动态加载和混淆,都是已知多年的行为
- 动态逃逸,两个时间相关逃逸,大多数上下文依赖逃逸,一些UI相关逃逸”scroll”,但是UI”mouse”不是特别有效,cuckoo沙箱可以模拟鼠标运动检测逃逸。
- 组合的逃逸技术几乎逃逸所有扫描仪,除了NANO-Antivirus和SAFE-PDF).
- mouse,scroll,context,steganography,xor(key:40)
- alert_one,scroll,context,steganography,xor(key:40)
- RQ4:有没有逃逸技术起到了反作用,导致原来遗漏的恶意文件被检测出来
- RQ5:多种逃逸结合比一种逃逸更难检测吗?
- RQ6:逃逸技术的有效性依赖于漏洞或恶意负载吗
Table 2
Class | Name | Description | Implementation |
---|---|---|---|
Context | lang |
Trigger if the language of the PDF viewer is the specified set of languages. Trigger if the desktop resolution is in the specified range Trigger if the user’s computer has the specified number of monitors attached to it. |
|
5. RESULTS
应用41个PDF Scanners检测由Chameleon框架生成的1395个恶意PDF文件和81个良性文件。所有文件被做成了benchmark提供研究。