Image by Greg Martínez, from Unsplash

开源工具能自动禁用大部分远程控制恶意软件

阅读时间: 1 分钟

最近更新： Apr 28, 2025

乔治亚理工学院的网络安全研究人员开发了一种新工具，通过将恶意软件的自身系统用于对抗它，从感染设备中移除恶意软件。

赶时间？这里有快速事实：

这款名为ECHO的工具，利用恶意软件内置的更新功能来关闭它，停止被远程控制的感染机器网络，也就是人们通常所说的僵尸网络。这是首次由Tech Xplore (TX) 报道的。

ECHO的开源代码现在已经在GitHub上可用，并且在75%的测试案例中取得了成功。研究者们将他们的工具应用到702个安卓恶意软件样本中，在523个案例中成功地移除了感染，这些都在他们的论文中有所解释。

“理解恶意软件的行为通常对工程师来说非常困难，收益甚微，所以我们制作了一个自动化的解决方案，”乔治亚理工学院的博士生Runze Zhang在TX的报道中如此表示。

自1980年代以来，僵尸网络一直在造成问题，并且在近年来变得更加危险。根据TX的报道，2019年，恶意软件Retadup在拉丁美洲广泛传播。最终这个威胁被中和，但是要做到这一点需要大量的时间和努力。

“这是一个非常好的方法，但是它非常劳动密集，”乔治亚理工学院的副教授Brendan Saltaformaggio在TX的报道中说。“所以，我的团队聚在一起，意识到我们有研究能力使这成为一种科学的、系统的、可复制的技术，而不仅仅是一次性的、人力驱动的、痛苦的努力。”

TX报道称，ECHO的工作分为三步：它首先分析恶意软件的传播方式，然后将该方法改造为发送修复程序，最后推送代码以清理受到感染的系统。这个过程足够快，能在僵尸网络造成重大损害之前进行阻止。

“我们永远无法实现完美的解决方案，”TX报道中，Saltaformaggio这样说道。“但我们可以把标准提高到这样的程度，使得攻击者觉得使用这种方式的恶意软件不值得。”