面向过程的APT木马行为动态分析
本文关键词: APT木马 行为分析 自动化 PANDA 系统调用 出处:《山东大学》2017年硕士论文 论文类型:学位论文
【摘要】:随着信息时代的发展,各国在网络空间领域的斗争每天都在上演,有组织、有预谋、以信息情报获取为目的的APT攻击已严重影响我国政府和企业的信息安全,我网络空间主权受到严重挑战。APT木马作为APT攻击的重要武器,在控制、渗透、窃密环节均发挥着不可替代的作用。所以研究APT木马启动隐藏技术,并对APT木马样本执行过程进行动态分析,发现其主机层面和网络层面的恶意行为,对明确APT木马网络攻击技术和网络通信要素,提高我国网络空间防御能力具有十分重要的作用。目前对木马启动隐藏技术的研究,基本上都未对较新的COM组件劫持隐藏技术进行分析;木马行为分析多数以HOOK方式获取API序列实现,主要存在两点弊端:一是HOOK方式破坏样本完整性,易被木马检测发现;二是很多精心构造的木马开始直接使用系统调用实现函数功能,API序列的细粒度已无法满足APT木马行为分析要求。本文通过对研究近几年的APT攻击报告,深入分析了服务方式、注册表方式、自启动目录方式、DLL劫持以及COM组件劫持等木马启动技术,DLL注入、高级内存注入、APC注入和进程挖空隐藏等木马隐藏技术。通过分析系统调用过程和内存数据结构,确定了以系统调用序列来刻画木马主机行为、以网络通信日志及通信数据体现木马网络行为的研究方案。本文在深入理解二进制动态分析平台PANDA原理及插件架构的基础上,构建了"左眼"APT木马行为分析系统。该系统由虚拟执行环境模块、客户交互网页模块、服务端控制模块、关键系统调用获取模块、内存分析检测模块、网络行为获取模块、域名信息获取模块组成。本着"实用化、自动化"的原则,编写了提供任务发布和结果查看的客户交互接口网站。使用Python编写服务端控制模块脚本,可根据任务配置信息控制系统自动实施分析流程,实现了对QEMU虚拟机的控制和PANDA插件的调用。基于二进制动态分析平台PANDA开发了关键系统调用监视插件,实现了样本执行过程中系统调用序列的获取。基于WTAP开发PANDA网络数据截获插件,获取可利用WireShark开展分析的虚拟机网络通信数据。封装内存分析工具Volatility和服务仿真程序InetSim为系统模块,并实现调用接口。实现自动调用PANDA插件获取Record回放至客户指定百分比时的虚拟机内存镜像,并调用Volatility开展API HOOK分析。利用InetSim仿真木马通联服务器促使木马开始交互后的动作,获取网络通信行为日志。开发域名信息获取模块,对APT木马样本的通联域名进行收集和分析。本系统部署构建完成后,已应用于单位实际工作中。从分析结果来看,系统能够根据客户提交的任务配置自动完成分析流程,能够有效识别出样本进程及其逻辑子进程并获取所关注的系统调用序列,能够对执行过程中截取的内存快照进行API Hook检测,能够获取样本执行虚拟机与仿真木马控制器间的网络日志及通信数据,大大促进了 APT木马样本分析工作的开展。
[Abstract]:With the development of information age , every day in the field of network space , all countries have played an irreplaceable role in the development of network space . According to the analysis result , the system can automatically complete the analysis flow according to the task configuration submitted by the customer , can effectively identify the sample process and the logic sub - process and acquire the system call sequence of interest , can effectively identify the sample process and the logic sub - process and acquire the system call sequence of interest , can obtain the network log and communication data between the sample execution virtual machine and the simulation Trojan controller , and greatly promotes the development of the APT Trojan sample analysis work .
【学位授予单位】:山东大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 杨文泉,陆阳;利用系统调用的延滞对入侵进行自反应[J];计算机工程与应用;2003年06期
2 李梦雨;;关于系统调用的发展研究综述[J];河北经贸大学学报(综合版);2010年01期
3 姚立红 ,訾小超 ,黄皓 ,茅兵 ,谢立;基于系统调用特征的入侵检测研究[J];电子学报;2003年08期
4 罗宁,喻莉;一种基于系统调用异常检测的改进算法[J];电子工程师;2005年07期
5 刘雪飞;王申强;吴伯桥;马恒太;;基于系统调用的入侵检测新方法[J];计算机应用研究;2006年12期
6 陶芬;尹芷仪;傅建明;;基于系统调用的软件行为模型[J];计算机科学;2010年04期
7 吴瀛;江建慧;张蕊;;基于系统调用的入侵检测研究进展[J];计算机科学;2011年01期
8 刘竹;陈晶;方良;;基于支持向量数据描述的系统调用轨迹异常检测[J];计算机应用与软件;2012年01期
9 李珍;田俊峰;杨晓晖;;基于系统调用属性的程序行为监控[J];计算机研究与发展;2012年08期
10 吴瀛;江建慧;;基于进程轨迹最小熵长度的系统调用异常检测[J];计算机应用;2012年12期
相关会议论文 前6条
1 吴瀛;江建慧;;一种基于异常模式的系统调用异常检测[A];第六届中国测试学术会议论文集[C];2010年
2 陈林博;江建慧;张丹青;;基于多版本冗余进程的容侵系统[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年
3 朱国强;刘真;李宗伯;;基于程序行为分析的入侵检测技术研究[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
4 符蓉;徐向阳;王靖;;Linux下基于交叉视图的隐蔽恶意代码检测[A];第八届全国信息隐藏与多媒体安全学术大会湖南省计算机学会第十一届学术年会论文集[C];2009年
5 石玉平;何银南;郭俊杰;张琳;;机电测控系统调用Matlab函数的实现[A];制造技术自动化学术会议论文集[C];2002年
6 高岩;董占球;;有限目标的系统级防护技术的研究与实现[A];第十八次全国计算机安全学术交流会论文集[C];2003年
相关重要报纸文章 前1条
1 郑林;保护关键服务器[N];网络世界;2002年
相关博士学位论文 前3条
1 徐明;基于系统调用的异常入侵检测技术及IDS扩展功能的研究[D];浙江大学;2003年
2 尹芷仪;基于结构指纹和污点跟踪的软件行为模型研究[D];武汉大学;2010年
3 张桂玲;基于软计算理论的入侵检测技术研究[D];天津大学;2006年
相关硕士学位论文 前10条
1 苏杰;基于系统调用的入侵检测研究[D];华中科技大学;2007年
2 徐文龙;虚拟化系统进程防护技术研究与实现[D];南京理工大学;2015年
3 赵尚杰;云环境下多层次粒度可控的安全审计方法研究[D];哈尔滨工业大学;2015年
4 杨洋;基于Linux进程行为的入侵检测技术研究[D];电子科技大学;2014年
5 冯威;基于内核对象的动态恶意代码检测[D];哈尔滨工业大学;2014年
6 王新澈;基于行为的软件胎记技术研究[D];南京大学;2013年
7 雷声威;层次化软件可信度量模型研究与设计[D];北京工业大学;2016年
8 袁鑫;融合入侵检测的SELinux安全性增强机制[D];西安电子科技大学;2015年
9 刘凯歌;基于系统调用和程序数据依赖的软件胎记的研究[D];南京大学;2014年
10 苏鹏;面向过程的APT木马行为动态分析[D];山东大学;2017年
,本文编号:1536027
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1536027.html
