利用符号执行对抗APT样本反沙箱检测的研究
发布时间:2021-05-21 17:01
随着办公数字化、数据云端化等概念在政府、企业、高校、军队内的不断落地,针对这些目标的攻击事件层出不穷。在所有类型的攻击事件中,由于高级可持续性威胁(APT)的攻击目标明确、攻击行为多样、攻击阶段复杂、时间跨度长,是公认的最难以分析的攻击事件。随着资源的增加、技术的进步,采用沙箱技术来动态分析APT样本的企业逐步增加,沙箱动态分析被认为是防御APT的最后一道防线。然而,目前超过80%的APT样本采用多种机制探测沙箱环境,当发现自身运行于异常环境时会停止恶意行为。对于符号执行系统,反沙箱检测会导致程序分析产生多个分支,恶意行为的分支淹没其中。进一步,如果无害行为中分支存在混淆代码,会造成路径爆炸问题,甚至导致符号执行系统的崩溃。通过对符号执行核心原理的分析,并且结合APT报告中出现的反沙箱检测机制,本文使用开源二进制符号执行工具ANGR作为基础系统,在其上补充了Win32 API挂钩、VEX指令修补、内存结构完善三种插件,并设计了一种可应对未知反沙箱检测的托底方案,开发了原型系统。原型系统既可以使程序只执行包含恶意行为的分支,又可以自动生成反沙箱检测的IOC指标,代表攻击者使用工具的特征。...
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:93 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 绪论
1.1 研究背景
1.2 国内外研究现状
1.3 目的和意义
1.4 论文结构
第二章 符号执行概述
2.1 符号执行的定义与挑战
2.1.1 静态符号执行
2.1.2 动态符号执行
2.1.3 符号执行挑战
2.2 中间语言
2.2.1 中间语言特点
2.2.2 LLVM
2.2.3 VEX
2.3 约束求解
2.3.1 约束满足问题
2.3.2 SMT求解器
2.3.3 约束求解在符号执行中的优化
2.3.4 常用求解器
2.4 内存模型
2.4.1 静态符号执行的内存模型
2.4.2 动态符号执行的内存模型
2.5 常见符号执行工具介绍
2.5.1 KLEE
2.5.2 Angr
2.5.3 其他语言的符号执行
2.6 符号执行应用场景
2.6.1 测试用例生成
2.6.2 漏洞利用自动化
2.7 本章小结
第三章 APT样本分析与反分析技术研究
3.1 恶意代码主流分析技术
3.1.1 静态分析技术
3.1.2 动态分析技术
3.1.3 基于语义的分析技术
3.2 APT样本反静态分析-混淆
3.3 APT样本反动态分析-反沙箱技术
3.3.1 基于系统的反沙箱技术
3.3.2 基于硬件的反沙箱技术
3.3.3 基于进程的反沙箱技术
3.3.4 采用特殊方法的反沙箱技术
3.4 本章小结
第四章 对抗APT样本反沙箱检测方法研究
4.1 反沙箱对符号执行的影响
4.2 符号执行系统选择
4.3 Angr完善方法
4.3.1 Win32 API挂钩
4.3.2 VEX指令修补
4.3.3 内存结构完善
4.4 托底方案
4.5 反沙箱IOC生成
4.6 本章小节
第五章 原型系统设计实现与实验评估
5.1 原型系统总体架构
5.2 对抗反沙箱检测的实现方法
5.2.1 Win32 API挂钩实现
5.2.2 VEX指令修补实现
5.2.3 内存结构完善实现
5.2.4 托底方案实现
5.2.5 实现总结
5.3 原型系统评估
5.3.1 分析脚本编写
5.3.2 纵向比较
5.3.3 横向比较
5.3.4 实例分析
5.4 本章小结
第六章 结束语
6.1 主要工作与创新点
6.2 后续研究工作
参考文献
致谢
攻读硕士学位期间已发表或录用的论文
攻读硕士学位期间专利的申请
【参考文献】:
期刊论文
[1]一种基于Python符号执行的自动化网络攻击流量获取方法[J]. 陈家浩,王轶骏,吕诚. 计算机应用与软件. 2019(02)
[2]基于PyExZ3的Web攻击流量的采集和分类[J]. 吕诚,王轶骏,薛质. 通信技术. 2018(12)
[3]基于Ruby符号执行的Metasploit攻击流量提取[J]. 刘焕伟,王轶骏,薛质. 通信技术. 2018(12)
[4]新形势下的免杀及防御技术研究[J]. 胡嘉熙,王轶骏,薛质. 通信技术. 2017(12)
[5]基于符号执行的Python攻击脚本分析平台[J]. 邱洋,王轶骏,薛质. 计算机工程. 2016(11)
博士论文
[1]面向复杂程序结构的测试用例自动生成方法研究[D]. 张旭舟.北京邮电大学 2018
[2]Concolic测试关键技术研究[D]. 雷雪.北京邮电大学 2016
[3]基于编译器中间语言的软件运行时可靠性研究[D]. 尹杰.清华大学 2015
[4]基于类型系统的程序验证方法研究[D]. 吴伟.武汉大学 2013
硕士论文
[1]基于符号化执行的测试用例自动生成方法研究[D]. 任瑞国.西安理工大学 2018
[2]面向C语言的符号执行引擎设计与实现[D]. 周寒茹.华东师范大学 2018
[3]并行分段式符号执行的研究与实现[D]. 王颖.电子科技大学 2018
[4]符号执行工具KLEE约束求解优化设计与实现[D]. 康文涛.电子科技大学 2014
本文编号:3200065
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:93 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 绪论
1.1 研究背景
1.2 国内外研究现状
1.3 目的和意义
1.4 论文结构
第二章 符号执行概述
2.1 符号执行的定义与挑战
2.1.1 静态符号执行
2.1.2 动态符号执行
2.1.3 符号执行挑战
2.2 中间语言
2.2.1 中间语言特点
2.2.2 LLVM
2.2.3 VEX
2.3 约束求解
2.3.1 约束满足问题
2.3.2 SMT求解器
2.3.3 约束求解在符号执行中的优化
2.3.4 常用求解器
2.4 内存模型
2.4.1 静态符号执行的内存模型
2.4.2 动态符号执行的内存模型
2.5 常见符号执行工具介绍
2.5.1 KLEE
2.5.2 Angr
2.5.3 其他语言的符号执行
2.6 符号执行应用场景
2.6.1 测试用例生成
2.6.2 漏洞利用自动化
2.7 本章小结
第三章 APT样本分析与反分析技术研究
3.1 恶意代码主流分析技术
3.1.1 静态分析技术
3.1.2 动态分析技术
3.1.3 基于语义的分析技术
3.2 APT样本反静态分析-混淆
3.3 APT样本反动态分析-反沙箱技术
3.3.1 基于系统的反沙箱技术
3.3.2 基于硬件的反沙箱技术
3.3.3 基于进程的反沙箱技术
3.3.4 采用特殊方法的反沙箱技术
3.4 本章小结
第四章 对抗APT样本反沙箱检测方法研究
4.1 反沙箱对符号执行的影响
4.2 符号执行系统选择
4.3 Angr完善方法
4.3.1 Win32 API挂钩
4.3.2 VEX指令修补
4.3.3 内存结构完善
4.4 托底方案
4.5 反沙箱IOC生成
4.6 本章小节
第五章 原型系统设计实现与实验评估
5.1 原型系统总体架构
5.2 对抗反沙箱检测的实现方法
5.2.1 Win32 API挂钩实现
5.2.2 VEX指令修补实现
5.2.3 内存结构完善实现
5.2.4 托底方案实现
5.2.5 实现总结
5.3 原型系统评估
5.3.1 分析脚本编写
5.3.2 纵向比较
5.3.3 横向比较
5.3.4 实例分析
5.4 本章小结
第六章 结束语
6.1 主要工作与创新点
6.2 后续研究工作
参考文献
致谢
攻读硕士学位期间已发表或录用的论文
攻读硕士学位期间专利的申请
【参考文献】:
期刊论文
[1]一种基于Python符号执行的自动化网络攻击流量获取方法[J]. 陈家浩,王轶骏,吕诚. 计算机应用与软件. 2019(02)
[2]基于PyExZ3的Web攻击流量的采集和分类[J]. 吕诚,王轶骏,薛质. 通信技术. 2018(12)
[3]基于Ruby符号执行的Metasploit攻击流量提取[J]. 刘焕伟,王轶骏,薛质. 通信技术. 2018(12)
[4]新形势下的免杀及防御技术研究[J]. 胡嘉熙,王轶骏,薛质. 通信技术. 2017(12)
[5]基于符号执行的Python攻击脚本分析平台[J]. 邱洋,王轶骏,薛质. 计算机工程. 2016(11)
博士论文
[1]面向复杂程序结构的测试用例自动生成方法研究[D]. 张旭舟.北京邮电大学 2018
[2]Concolic测试关键技术研究[D]. 雷雪.北京邮电大学 2016
[3]基于编译器中间语言的软件运行时可靠性研究[D]. 尹杰.清华大学 2015
[4]基于类型系统的程序验证方法研究[D]. 吴伟.武汉大学 2013
硕士论文
[1]基于符号化执行的测试用例自动生成方法研究[D]. 任瑞国.西安理工大学 2018
[2]面向C语言的符号执行引擎设计与实现[D]. 周寒茹.华东师范大学 2018
[3]并行分段式符号执行的研究与实现[D]. 王颖.电子科技大学 2018
[4]符号执行工具KLEE约束求解优化设计与实现[D]. 康文涛.电子科技大学 2014
本文编号:3200065
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3200065.html
