据火绒威胁情报系统监测,近几年 64 位病毒样本数量大有上涨趋势,从 2018 年至今,64 位病毒样本数量已增长了 1445%,且今年速度明显加快,如臭名昭著的 Emotet 病毒、IcedID 病毒、Dridexs 病毒均出现大量 64 位新变种。
据火绒威胁情报系统监测,近几年 64 位病毒样本数量大有上涨趋势,从 2018 年至今,64 位病毒样本数量已增长了 1445%,且今年速度明显加快,如臭名昭著的 Emotet 病毒、IcedID 病毒、Dridexs 病毒均出现大量 64 位新变种。火绒安全实验室预测,未来 64 位病毒数量还会以较快速度逐年递增。
2018 年-2022 年 Q3 的 64 位病毒样本量增长趋势
由于 Win32 病毒样本与安全软件对抗的复杂度逐渐增高,以及近年来 64 位操作系统市场占有率的扩大增长,致使病毒作者开始逐步尝试转向开发基于 Win64 的恶意代码及病毒混淆器,从而对抗安全厂商的查杀。
穿上「马甲」照样认识你
「马甲」即病毒混淆器。在病毒与安全软件的对抗过程中,病毒混淆器一直扮演着极为重要的角色。病毒会套上一层甚至多层「马甲」,伪装成正常程序,隐匿自己的真实目的,误导安全软件的判定,达成其不正当目的。
「抓住事物本质及其规律,才能事半功倍」——火绒安全深谙核心的反病毒技术之道。火绒反病毒引擎拥有识破「马甲」的能力,即便「马甲」形态变化多端,依然能够透过层层表象,剖析恶意代码本质,还原病毒核心特征,进而更好地识别并查杀同一病毒家族的不同变种或未知变种。
火绒反病毒引擎的这种能力,则得益于独有的高仿真度「虚拟沙盒」环境。
仿真生态与「寄居蟹」
对于「虚拟沙盒」,可以理解为一套仿真的生态环境,病毒就像寄居蟹一样藏在不同的病毒混淆器中。为了让寄居蟹放松警惕,行动起来,仿真生态要足够还原寄居蟹真实生存环境。即让病毒以为身处真实目标环境,并开始执行核心恶意代码,因此暴露最本质的病毒特征。
火绒虚拟沙盒设计了完备的 32 位操作系统环境仿真,模拟了超过 23000 个 Windows API,涵盖了绝大多数操作系统的核心机制,包括但不限于:文件系统、注册表系统、窗口系统等,几乎「一比一」复刻了系统环境。因此,病毒能够「放心」运行,进而被火绒引擎识别,及时查杀,并精准判定病毒类型及家族名称。
火绒安全产品得益于引擎对病毒准确的识别能力,可以帮助企业网络管理员对问题精准定性,及时确认安全风险敞口,进而采取应对措施;同时会针对感染型病毒中被植入的恶意代码做到准确剥离,还原用户原始文件。
积跬步 至千里
早在几年前,火绒团队就已经在虚拟沙盒中探索构建 64 位操作系统,从指令的虚拟执行到 API、文件系统、注册表等系统要素仿真搭建,再到对 64 位病毒检出查杀的反复验证,火绒安全于近日正式宣布进阶了核心技术能力——火绒反病毒引擎「虚拟沙盒」支持 64 位虚拟环境,整体环境安全、可控。
支持 64 位虚拟环境后,火绒引擎通过对 64 位样本的扫描可以获取到病毒核心特征,从而提高火绒安全产品对未知病毒的检出能力,防御未知威胁。火绒安全从未停止过对核心能力的技术投入,火绒引擎「虚拟沙盒」环境的仿真和推演,更是综合时间、人力、技术、实践经验不断积累磨合、持续升级的结果。
因此火绒安全不仅是防病毒软件提供商,也是重要的反病毒引擎提供商。火绒将独具优势的本地反病毒引擎,赋能给国内众多一线安全厂商,共同应对网络安全事件,防范网络攻击。
火绒安全将紧跟网络威胁变化,增强核心技术建设,聆听用户需求建议,提升产品能力,提高用户体验,聚焦反病毒研究,在国内终端安全领域不断做精、做强。
来源:互联网
