基于網(wǎng)絡(luò)協(xié)議逆向分析的遠(yuǎn)控木馬漏洞挖掘.pdf

1、針對(duì)現(xiàn)今APT攻擊中重要的遠(yuǎn)程控制木馬手段，本文提出了一種主動(dòng)防御思路，即針對(duì)不公開源代碼和網(wǎng)絡(luò)協(xié)議的遠(yuǎn)控木馬程序進(jìn)行漏洞挖掘和癱瘓攻擊。我們通過(guò)深入分析Gh0st和Poison Ivy等著名遠(yuǎn)控木馬的通信協(xié)議，掌握了遠(yuǎn)控木馬網(wǎng)絡(luò)協(xié)議的一般通信原理和協(xié)議格式，從而研究設(shè)計(jì)出了一套針對(duì)遠(yuǎn)控木馬未知網(wǎng)絡(luò)協(xié)議進(jìn)行逆向分析的算法，并最終結(jié)合成熟的Fuzz測(cè)試框架對(duì)遠(yuǎn)控木馬的控制端代碼進(jìn)行漏洞挖掘，繼而實(shí)施主動(dòng)攻擊。
　　本文首先使用廣義后

2、綴樹和分層次聚類等數(shù)據(jù)挖掘的算法來(lái)逆向分析遠(yuǎn)控木馬網(wǎng)絡(luò)協(xié)議的特征，自動(dòng)構(gòu)造其協(xié)議格式。接著通過(guò)Angluin算法展開狀態(tài)機(jī)學(xué)習(xí)器與遠(yuǎn)控木馬的網(wǎng)絡(luò)通信進(jìn)行交互，在學(xué)習(xí)過(guò)程中不斷發(fā)現(xiàn)遠(yuǎn)控木馬協(xié)議狀態(tài)機(jī)中新的狀態(tài)，從而獲取木馬的網(wǎng)絡(luò)協(xié)議狀態(tài)機(jī)。然后在此基礎(chǔ)上，再和Peach這款成熟的Fuzz測(cè)試框架結(jié)合起來(lái)，導(dǎo)入之前逆向分析出來(lái)的協(xié)議格式與協(xié)議狀態(tài)機(jī)來(lái)自動(dòng)生成Fuzz的配置文件，通過(guò)引入?yún)f(xié)議格式與狀態(tài)模型的元素來(lái)收斂樣本的生成，從而較大程度避