通過自動化機器學習對抗Java惡意軟體

最近幾個月，黑客們又開始利用電子郵件展開大規模攻擊，糟糕的是，這些惡意軟體還使用了新技術來繞過殺毒軟體的防護。但是，通過微軟研究團隊研發的自動化專家系統和機器學習模型，搭載Windows 10的電腦就可以及時地應對這些威脅。

黑客們總是不斷改變他們的攻擊方法和工具，專家們從多年來對惡意軟體和網路犯罪行為的研究中了解到，黑客們開始使用編程語言進行惡意活動，而這些攻擊行為總會繞過既有的安全解決方案。例如，最近微軟的安全專家們就跟蹤了黑客們是如何改變他們使用的NSIS安裝程序，以逃避殺毒軟體的檢測，並實施攻擊。

為了讓Windows Defender Antivirus能夠有效實時保護，微軟安全專家們開發了智能安全圖像識別技術（Microsoft intelligent security graph）。這是一個很強大的智能系統，用於監控來自網路的大量威脅情報。該系統包括了機器學習模型，可以對最新的威脅採取主動性的防護。

跟蹤含有廣告的惡意電子郵件

2017年年初的時候，微軟的智能安全圖像識別技術就已經探測到Java垃圾郵件活動的跡象並開始收集相關的活動證據，而且利用該工具的自動化技術可以對大量惡意電子郵件進行排序和分類，這樣安全專家們就提前知道了含有Java惡意軟體的電子郵件在不斷的激增。

這些電子郵件使用各種社會工程技術來誘使收件人打開惡意附件，其中有很多電子郵件是葡萄牙語，不過也有英文。這些惡意軟體會偽裝成是計費（比如Adwind）、付款、養老金或其它財務預警的通知。

以下是含有廣告的電子郵件中最受歡迎的主題和附件的文件名組合：

附件通常是.zip或.rar之類的文件，其中包含惡意的.jar文件。 黑客可以利用.jar作為附件文件來繞過殺毒軟體的識別，因為相比於MIME、PDF、文本、HTML或文檔類型文件，.jar文件很難被識別出來。

在.zip文件中攜帶Java惡意軟體的惡意電子郵件

跟蹤惡意代碼的更新

除了關於電子郵件活動的信息之外，這個自動化監控工具還顯示了另外一個有趣的變化，就是在惡意軟體的整個運行期間，它們每天平均使用了900個不同的Java惡意文件。所以也就解釋了Windows Defender Antivirus會在一天內遇到1200個不同的惡意Java文件：

含有廣告的惡意電子郵件所使用的Java惡意文件的數量

這些Java惡意文件都是過去的惡意軟體的變體，之所以要不斷地更新文件代碼，就是為了試圖逃避殺毒軟體的檢測。

在Java惡意軟體的這些新變體中，安全專家們看到的最顯著的變化就是它們模糊惡意代碼的方式。例如，它們看到以下混淆技術：

1.使用一系列附加操作符和字元串解密功能

2.使用過長的變數名，使其變的不可讀

3.使用過多的代碼，使代碼跟蹤更加困難

經過混淆的代碼可以讓惡意分析工具變的一無是處，不過安全圖像識別技術可以自動觸發這些經過混淆的惡意軟體。當惡意軟體被觸發時，利用機器學習模型就可以分析出看到惡意軟體的意圖，並提前做好應對措施。

安全專家們利用該工具把觸發期間觀察到的惡意行為都記錄了下來，之後，並使用這些記錄的線索，來檢測新的和未知的惡意附件。這些惡意行為包括：

惡意軟體跟蹤日誌

從情報分析到實時防護

通過利用該工具進行自動分析，機器學習和預測建模，安全專家們就能夠更好地為最新的，從未見過的惡意軟體提供保護。通過對威脅情報的具體分析， Windows Defender AV便能夠實時提供全面的威脅防護。

其中上下文感知系統可以分析數百萬潛在的惡意軟體樣本並收集大量的威脅情報，同時這些威脅情報又豐富了機器學習的樣本庫，使殺毒軟體能夠實時阻止相關威脅。除了Java惡意軟體之外，利用上下文感知系統可還能檢測到有效載荷，比如像Banker和Banload這樣的網路銀行木馬程序，或者像Jrat和Qrat這樣的Java遠程訪問木馬程序（RAT）。

自動化系統將威脅情報提供給雲引擎和機器學習模型，從而實現對威脅的實時保護

不斷累積的威脅情報會不斷增強機器學習模式的分析能力，當來自最新威脅的惡意文件標識符被添加到機器學習分類器後，防禦措施便自動開啟。

這就是安全專家們如何使用自動化、機器學習和雲端來對最新的和未知的威脅提供更加智能和強大的保護技術。 Windows Defender AV可以自動保護Windows PC免受97％以上惡意軟體惡意軟體的侵擾。

對檢測道德Java惡意軟體進行細分

結論

通過電子郵件活動來推送Java惡意軟體，只是黑客們用於傳遞新的惡意軟體和其他威脅的一種手段而已。相信黑客們會不斷改進自己的攻擊工具和手段，以逃避現有防護工具的保護。

Windows Defender AV研究團隊正在試圖通過自動化流程，機器學習和雲保護技術的組合來增強防禦技術。目前，這些保護技術已經內置於Windows 10中，建議大家儘快更新到最新的系統。

Windows Defender Antivirus通過使用自動化、機器學習和啟發式方式提供對惡意軟體及其有效載荷等威脅的實時保護。

在企業環境中，Office 365高級威脅防護可以阻止來自垃圾郵件廣告的惡意電子郵件，例如分發Java惡意軟體的惡意電子郵件，就可以被本文中所討論的自動化流程的機器學習所檢測到。

微軟的設備保護(Device Guard) 是由硬體和軟體系統完整性強化功能組成的功能集,這些功能徹底革新了 Windows 操作系統的安全性，並提供基於內核級別的虛擬化的安全保護措施，僅允許可信應用程序運行。

這樣做的不僅僅是微軟，Oracle一直在對使用Java的合法應用程序進行更強大的安全檢查。例如，從Java 7 Update 51開始，Java不允許未簽名的Java應用程序進行自簽名或缺少許可權屬性。 Oracle還將開始使用SHA1或更強的簽名來代替MD5簽名的.jar文件。

但要強調的是，本文中討論的Java惡意軟體就是Java可執行文件。以下是在企業環境中防範Java惡意軟體的其他一些建議：

1.在操作系統中刪除文件類型關聯中的JAR，以便雙擊時.jar文件不會運行，

2..jar文件必須使用命令行手動執行，

3.要求Java只執行已簽名的.jar文件，

4.手動驗證簽名的.jar文件，

5.應用電子郵件網關策略來阻止.jar作為附件。

本文翻譯自https://blogs.technet.microsoft.com/mmpc/2017/04/20/combating-a-wave-of-java-malware-with-machine-learning-in-real-time/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！