The Goals of Malware Analysis

  • 确定到底发生了什么
  • 确保能够定位出所有受感染的主机和文件
  • 解刨可疑文件
  • 找出可用于检测的特征码
  • 基于机器学习构建检测系统
  • 如何检测并控制损害

Signatures 特征码

  • Identify files or registry keys on a victim computer that indicate an infection

  • Focus on what the malware did to the system, not the malware itself

  • Different from antivirus signatures

  • 又称为感染迹象,用于在受感染主机上检测出恶意代码。

  • 经常是恶意代码所创建或修改的文件,或是对注册表的特定修改。

  • 与反病毒软件所使用的病毒特征码不同 恶意代码的感染迹象关注的是恶意代码对系统做了什么 恶意代码的病毒特征码关注的是恶意代码本身的特性。 有时感染迹象更加有效,比如检测那些经常变化自身形态的多态性恶意代码,或者恶意代码已经将自身文件从硬盘中删除。

  • Network signatures 基于网络的特征码

  • Detect malware by analyzing network traffic

  • More effective when made using malware analysis

  • 通过监测网络流量来检测恶意代码

  • 在恶意代码分析帮助下提取的基于网络的特征码往往是更加有效的,有更高的检测率和更少的误报

两种方法

静态、动态

而这两种之中又分为基础技术和高级技术,高级技术就是指逆向、调试等内容。

恶意代码的类型

  1. Backdoor后门
  • Allows attacker to control the system
  • 恶意代码将自身安装到一台计算机来允许攻击者访问
  1. Botnet 僵尸网络
  • All infected computers receive instructions from the same Command-and-Control (C&C) server
  • 所有被同一个僵尸网络感染的计算机将会从一台控制命令服务器接收到相同的命令,允许攻击者访问系统
  1. Downloader 下载器
  • Malicious code that exists only to download other malicious code
  • Used when attacker first gains access
  • 只是用来下载其他恶意代码的恶意代码
  • 通常是在攻击者获得系统的访问时首先进行安装的
  1. Information-stealing malware 间谍软件
  • Sniffers, keyloggers, password hash grabbers
  • 从受害计算机上收集信息并发送给攻击者
  • 比如:嗅探器、密码哈希采集器、键盘记录器等。
  1. Launcher 启动器
  • Malicious program used to launch other malicious programs
  • Often uses nontraditional techniques to ensure stealth or greater access to a system
  • 用来启动其他恶意程序的恶意代码
  • 通常使用一些非传统的技术来启动其他恶意程序,以确保其隐蔽性,或者以更高权限访问系统。
  1. Rootkit内核套件
  • Malware that conceals the existence of other code
  • Usually paired with a backdoor
  • 用来隐藏其他恶意代码的恶意代码
  • 通常是与其他恶意代码(如后门)组合成工具套装,来允许为攻击者提供远程访问
  1. Scareware 恐吓软件(勒索软件?)
  • Frightens user into buying something
  • 勒索用户购买某些东西的恶意代码
  • 通常有一个用户界面,使得它看起来像是一个杀毒软件或其他安全程序。它会通知用户系统中存在恶意代码,而唯一除掉它们的方法只有购买他们的“软件”,而事实上,他们所卖软件的全部功能只不过是将勒索软件进行移除而己。
  1. Spam-sending malware 发送垃圾邮件的恶意代码
  • Attacker rents machine to spammers
  • 通过为攻击者出售垃圾邮件发送服务而获得收益
  1. Worms or viruses 蠕虫或病毒
  • Malicious code that can copy itself and infect additional computers
  • 可以复制自身并感染其他计算机的恶意代码
  1. Ransomware 勒索软件
  • encrypt victim’s data as hostage
  • ask for ransom to recover the data
  • 将受害者的数据加密为人质
  • 勒索财物后才恢复数据

Mass v. Targeted Malware

  • Mass malware 大众性恶意代码
  • Intended to infect as many machines as possible
  • Most common type
  • 设计为影响到尽可能多的机器
  • 最为普遍

Targeted malware 针对性恶意代码

  • APT(Advanced Persistent Threat):高级持续性威胁,本质是针对性攻击
  • Tailored to a specific target
  • Very difficult to detect, prevent, and remove
  • Requires advanced analysis
  • Ex: Stuxnet
  • 针对特定组织而研制的
  • 很难检测,防止和移除
  • 需要高级分析
  • 震网病毒