面向過程的APT木馬行為動(dòng)態(tài)分析.pdf

1、隨著信息時(shí)代的發(fā)展，各國在網(wǎng)絡(luò)空間領(lǐng)域的斗爭每天都在上演，有組織、有預(yù)謀、以信息情報(bào)獲取為目的的APT攻擊已嚴(yán)重影響我國政府和企業(yè)的信息安全，我網(wǎng)絡(luò)空間主權(quán)受到嚴(yán)重挑戰(zhàn)。APT木馬作為APT攻擊的重要武器，在控制、滲透、竊密環(huán)節(jié)均發(fā)揮著不可替代的作用。所以研究APT木馬啟動(dòng)隱藏技術(shù)，并對(duì)APT木馬樣本執(zhí)行過程進(jìn)行動(dòng)態(tài)分析，發(fā)現(xiàn)其主機(jī)層面和網(wǎng)絡(luò)層面的惡意行為，對(duì)明確APT木馬網(wǎng)絡(luò)攻擊技術(shù)和網(wǎng)絡(luò)通信要素，提高我國網(wǎng)絡(luò)空間防御能力具有十分重要

2、的作用。目前對(duì)木馬啟動(dòng)隱藏技術(shù)的研究，基本上都未對(duì)較新的COM組件劫持隱藏技術(shù)進(jìn)行分析;木馬行為分析多數(shù)以HOOK方式獲取API序列實(shí)現(xiàn)，主要存在兩點(diǎn)弊端:一是HOOK方式破壞樣本完整性，易被木馬檢測發(fā)現(xiàn);二是很多精心構(gòu)造的木馬開始直接使用系統(tǒng)調(diào)用實(shí)現(xiàn)函數(shù)功能，API序列的細(xì)粒度已無法滿足APT木馬行為分析要求。
　　本文通過對(duì)研究近幾年的APT攻擊報(bào)告，深入分析了服務(wù)方式、注冊(cè)表方式、自啟動(dòng)目錄方式、DLL劫持以及COM組件劫持

3、等木馬啟動(dòng)技術(shù)，DLL注入、高級(jí)內(nèi)存注入、APC注入和進(jìn)程挖空隱藏等木馬隱藏技術(shù)。通過分析系統(tǒng)調(diào)用過程和內(nèi)存數(shù)據(jù)結(jié)構(gòu)，確定了以系統(tǒng)調(diào)用序列來刻畫木馬主機(jī)行為、以網(wǎng)絡(luò)通信日志及通信數(shù)據(jù)體現(xiàn)木馬網(wǎng)絡(luò)行為的研究方案。
　　本文在深入理解二進(jìn)制動(dòng)態(tài)分析平臺(tái)PANDA原理及插件架構(gòu)的基礎(chǔ)上，構(gòu)建了“左眼”APT木馬行為分析系統(tǒng)。該系統(tǒng)由虛擬執(zhí)行環(huán)境模塊、客戶交互網(wǎng)頁模塊、服務(wù)端控制模塊、關(guān)鍵系統(tǒng)調(diào)用獲取模塊、內(nèi)存分析檢測模塊、網(wǎng)絡(luò)行為獲取模

4、塊、域名信息獲取模塊組成。本著“實(shí)用化、自動(dòng)化”的原則，編寫了提供任務(wù)發(fā)布和結(jié)果查看的客戶交互接口網(wǎng)站。使用Python編寫服務(wù)端控制模塊腳本，可根據(jù)任務(wù)配置信息控制系統(tǒng)自動(dòng)實(shí)施分析流程，實(shí)現(xiàn)了對(duì)QEMU虛擬機(jī)的控制和PANDA插件的調(diào)用?；诙M(jìn)制動(dòng)態(tài)分析平臺(tái)PANDA開發(fā)了關(guān)鍵系統(tǒng)調(diào)用監(jiān)視插件，實(shí)現(xiàn)了樣本執(zhí)行過程中系統(tǒng)調(diào)用序列的獲取?；赪TAP開發(fā)PANDA網(wǎng)絡(luò)數(shù)據(jù)截獲插件，獲取可利用WireShark開展分析的虛擬機(jī)網(wǎng)絡(luò)通信數(shù)據(jù)

5、。封裝內(nèi)存分析工具Volatility和服務(wù)仿真程序InetSim為系統(tǒng)模塊，并實(shí)現(xiàn)調(diào)用接口。實(shí)現(xiàn)自動(dòng)調(diào)用PANDA插件獲取Record回放至客戶指定百分比時(shí)的虛擬機(jī)內(nèi)存鏡像，并調(diào)用Volatility開展API HOOK分析。利用InetSim仿真木馬通聯(lián)服務(wù)器促使木馬開始交互后的動(dòng)作，獲取網(wǎng)絡(luò)通信行為日志。開發(fā)域名信息獲取模塊，對(duì)APT木馬樣本的通聯(lián)域名進(jìn)行收集和分析。
　　本系統(tǒng)部署構(gòu)建完成后，已應(yīng)用于單位實(shí)際工作中。從分析