BlackHat后续：可绕过杀软的免杀工具AVPASS？360:可查杀

BlackHat后续：可绕过杀软的免杀工具AVPASS？360:可查杀

杀毒软件和病毒的对抗是一个长期的攻防过程，病毒想要入侵设备，安全软件永远是它绕不过去的一道坎。然而，在今年的全球黑客大会BlackHat USA 2017上，有黑客发布了一个名为AVPASS、用来帮助病毒绕过Android杀软检测的免杀工具，并宣布在github上公开AVPASS大部分的源代码。这意味着更多的病毒制作者可以利用这些代码，伪装自己的病毒，继而逃过杀毒软件的“法眼”。

   据该黑客介绍，AVPASS是一个可以探测Android杀毒软件的检测模型，并结合探测到的信息和混淆技术，构造特定APK来绕过杀毒软件检测的工具。AVPASS不仅可以推测出杀毒软件使用的特征，还可以推导出绕过规则，因此，（理论上）它可以自动变形APK，使得任何杀软将一个恶意APP误认为一个正常APP。

对此，国内领先的移动安全机构360手机卫士团队和360烽火实验室宣布：他们在第一时间关注了AVPASS的发布，并对其进行了测试分析。360分析发现，对于采用AVPASS工具混淆过的APK，360手机卫士的QVM杀毒引擎基本可以识别和查杀。同时由于AVPASS修改的只是静态代码，因此对沙箱的正常识别不会造成影响。

解析：APK易容绕过杀软 波及安全行业

AVPASS使用python语言编写，可以在Linux、macOS、Windows上进行安装。360手机卫士团队研究发现，目前对AVPASS支持最好的系统是Linux。

图1：APK混淆模块的部分代码

病毒传播者利用AVPASS的13个的APK（Android安装包）混淆模块，可以自动生成各种混淆的APK。通过将不同的混淆方法及组合应用于病毒APK中，就可以产生大量的病毒APK变种，进而可以利用杀毒软件对这些病毒APK变种的扫描结果推导出杀毒软件的绕过规则，以此构造特定APK来绕过杀毒软件。

图2：通过AVPASS生成的病毒APK变种

为了更好地使用这个功能，AVPASS还对开发者给出很多“贴心的建议”：尽量使用不同家族的病毒APK，以获得更好的结果。AVPASS使用OBFUSCATION_LIST配置中定义的不同混淆方法的组合生成变种。如果配置了7个混淆方法，最终会生成127个变种。由于混淆方法的个数是相对固定的，AVPASS推荐开发者使用100以上的病毒APK作为输入来推到杀毒软件的检测特征和绕过规则。

接下来，AVPASS就可以在某种程度上推测出杀毒软件的绕过规则，其基本思路如下：

将各种不同的混淆方法和混淆方法的组合应用于病毒APK，生成大量变种，然后将其传到VirusTotal并获得各家杀毒软件的扫描结果，通过分析各家杀毒软件检出与否，判断出各种混淆方法或者混淆方法的组合能否绕过该杀毒软件。

图3：AVPASS中用于绕过杀毒软件的部分代码

推断杀毒软件的绕过规则的代码位于源代码目录中的infer_rules.py文件中，其使用方法也非常简单：只需要确保病毒在VirusTotal上的扫描结果在同一个目录中，直接运行下面这条指令即可：

$ python infer_rules.py -i output

执行命令后会生成一个名为inferered_rules.pkl的文件，里面存储着针对每一个杀毒软件的推断结果。

一旦推断出杀毒软件的绕过规则，开发者就可以有目的地对病毒APK进行混淆，使其绕过一个或者多个杀毒软件。要实现这一步，只需要执行AVPASS提供的一条指令。

图4：Imitation Mode的部分执行代码

更令人胆战心惊的是，为了避免制作的病毒过早传播导致被杀，AVPASS提供了Imitation Mode。该模式可以将一个病毒APK的各种特征分解出来，然后将一个特征或者特征组合插入到一个事先准备好的正常的APK中，将合并后的APK直接使用杀毒软件扫描或者传到VirusTotal等网站使用杀毒软件进行检测，以便确认杀毒软件是否通过该特征或者特征组合来报毒。如果是，病毒作者可以通过修改这些值来更好地绕过杀毒软件检测。

应对：360 QVM引擎可全面查杀 AVPASS变种

从以上分析不难看出，AVPASS最大的意义在于它提出了一个对APK进行混淆的新思路，这对于360手机卫士等安全厂商具有重要参考价值。360手机卫士和360烽火实验室对AVPASS监测后发现其具有很大的局限性，具体包括：

1）不能处理内部的payload，包括resource、assets libs目录中的APK、JAR、SO、ZIP文件；

2）不能绕过动态分析/沙箱等，无论怎么混淆，最后执行的结果依然和原来的APK一样；

3）有时候混淆过的APK可能会运行失败，目前只能一个一个解决；

4）由于某些杀毒软件对某些病毒的检测不是通过代码来实现的，因此AVPASS不能确保百分之百的成功率；

5）AVPASS本身可能会被AV直接认定为病毒。

据了解，360手机卫士的人工智能杀毒引擎QVM引擎采用人工智能算法，具备“自学习、自进化”能力，无需频繁升级特征库，就能检测到90%以上的加壳和变种病毒。就算是病毒通过AVPASS“改头换面”企图入侵，也几乎无法绕过360的防御。数据显示，360QVM一开始就能自动识别至少80%的变种，经过一定程度的训练优化、学习模型调整等

处理，能够识别更多的变种，再辅助以云查杀、AVE等手段，可以识别100%的查杀。

呼吁：杀软行业需更新迭代  正规开发者切勿使用AVPASS工具

作为一款专门帮助病毒绕过Android杀毒软件检测的工具，AVPASS在技术上十分成熟。虽然其源码存在不少bug，但提出了一个对APK进行混淆的新思路，降低了恶意软件开发者的制作门槛，给杀毒软件行业提出了一定的挑战。

AVPASS 对采用QVM等云查杀技术的安全软件用户，基本没有影响。但对于采用本地化库查杀技术的安全软件用户，就像小偷会想尽一切办法藏匿，不让自己被警察发现，AVPASS为病毒提供了多条“隐藏”路径，来保证杀毒软件不会识别出病毒。

作为移动安全领域的领先者，360手机卫士和360烽火实验室希望杀毒软件行业对AVPAS给予足够的重视，及时进行技术的更新迭代，避免此类工具被恶意软件开发者广泛利用，让用户受到病毒变种入侵。同时360呼吁正规的软件开发者不要使用这类工具，以免造成不必要的误伤。