《网络安全知识体系1.1》
恶意软件和攻击技术(七):
恶意软件分析之分析环境
3.2 分析环境
恶意软件分析通常需要专用环境来运行动态分析工具[1]。环境的设计选择决定了可以使用的分析方法,从而决定了分析的结果和局限性。创建环境需要平衡分析恶意软件样本所需的成本与结果报告的丰富性。在这种情况下,成本通常以时间和人工劳动来衡量。例如,让专业的人工分析师手动研究样本可以生成非常深入和全面的报告,但成本很高。安全性是一个关键的设计考虑因素,因为人们担心在环境中执行和分析的恶意软件可能会破坏其遏制范围,并对分析系统及其连接的网络(包括Internet)造成损害(请参阅3.2.1安全和实时环境要求)。例如,运行执行DDoS攻击的僵尸网络恶意软件的示例,因此,如果分析环境不安全,它将导致该攻击。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表3突出显示了用于恶意软件运行时(即动态)分析的常见环境的优缺点。我们可以看到,与其他架构相比,某些架构更容易设置并更好地控制恶意软件的执行,但代价是透明度(即,它们更容易被恶意软件检测到)。例如,恶意软件很难检测到裸机系统,但由于它们没有检测,因此可以提取的数据通常仅限于网络和磁盘I/O。相比之下,像QEMU这样的仿真器可以记录每个执行的指令并自由检查内存。但是,QEMU还存在实际硬件中不存在的错误,可以利用这些错误来检测其存在。很大一部分现代恶意软件会检测模拟和虚拟化环境,如果确实如此,则不会执行恶意操作以避免分析。
3.2.1 安全和现场环境要求
显然,在设计恶意软件分析环境时,安全性非常重要,因为我们不能允许恶意软件对Internet造成意外损害(例如,通过从分析环境内部发起拒绝服务攻击)以及分析系统及其连接的网络。不幸的是,尽管纯静态技术(即没有程序执行的代码分析)是最安全的,但它们也具有严重的局限性。特别是,恶意软件作者知道他们的代码可能会被捕获和分析,并且他们采用代码混淆技术,以便单独进行代码分析(即,不实际运行恶意软件)将产生尽可能少的信息。
恶意软件通常需要与互联网上的一个或多个C&C服务器进行通信,例如,接收命令并解密和执行其“有效载荷”(或执行预期恶意活动的代码)。这只是一个示例,它强调了实时环境的设计对于恶意软件的存活非常重要,从而展示其预期的功能。实时环境要求的其他示例包括特定的运行时库、受感染计算机上的真实用户活动以及与恶意软件更新服务器的网络连接。
3.2.2 虚拟化网络环境
考虑到安全和实时环境要求,大多数恶意软件分析环境都是使用虚拟化技术构建的。虚拟化使操作系统能够自动高效地管理整个节点网络(例如,主机、交换机),即使在单个物理机内也是如此。此外,可以在虚拟环境之上应用遏制策略,以平衡实时环境和安全要求,1)允许恶意软件与Internet交互以提供必要的真实性,以及2)包含任何可能导致意外伤害或副作用的恶意活动。
示例架构包括:1)GQ系统,该系统基于多个包含服务器和一个中央网关设计,该网关将它们与Internet连接起来,允许过滤或重定向每个流上的网络流量基础,以及2)Potemkin系统,这是一个原型蜜农场,它使用积极的内存共享并将物理资源动态绑定到外部请求。这种架构不仅用于监视,还用于重放网络级行为。为此,我们首先需要对恶意软件使用的C&C协议进行逆向工程。有几种方法基于网络级数据(例如,Roleplay,它使用字节流对齐算法),或恶意软件执行的动态分析(例如,Polyglot和调度程序),或两者的组合。
原文始发于微信公众号(河南等级保护测评):恶意软件和攻击技术(七):恶意软件分析之分析环境
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论