惡意代碼技術(shù)及其檢測方法

惡意代碼及其檢測技術(shù)1.惡意代碼概述1.1定義惡意代碼也可以稱為Malware，目前已經(jīng)有許多定義。例如EdSkoudis將Malware定義為運(yùn)行在計算機(jī)上，使系統(tǒng)按照攻擊者的意愿執(zhí)行任務(wù)的一組指令。微軟“計算機(jī)病毒防護(hù)指南”中獎術(shù)語“惡意軟件”用作一個集合名詞，指代故意在計算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。隨著網(wǎng)絡(luò)和計算機(jī)技術(shù)的快速發(fā)展，惡意代碼的傳播速度也已超出人們想象，特別是人們可以直接從網(wǎng)站獲得惡意代碼源碼或通過網(wǎng)絡(luò)交流代碼。很多編程愛好者把自己編寫的惡意代碼放在網(wǎng)上公開討論，發(fā)布自己的研究成果，直接推動了惡意代碼編寫技術(shù)發(fā)展。所以目前網(wǎng)絡(luò)上流行的惡意代碼及其變種層出不窮，攻擊特點(diǎn)多樣化。1.2類型按照惡意代碼的運(yùn)行特點(diǎn)，可以將其分為兩類：需要宿主的程序和獨(dú)立運(yùn)行的程序。前者實(shí)際上是程序片段，他們不能脫離某些特定的應(yīng)用程序或系統(tǒng)環(huán)境而獨(dú)立存在；而獨(dú)立程序是完整的程序，操作系統(tǒng)能夠調(diào)度和運(yùn)行他們；按照惡意代碼的傳播特點(diǎn)，還可以把惡意程序分成不能自我復(fù)制和能夠自我復(fù)制的兩類。不能自我復(fù)制的是程序片段，當(dāng)調(diào)用主程序完成特定功能時，就會激活它們；能夠自我復(fù)制的可能是程序片段（如病毒），也可能是一個獨(dú)立的程序（如蠕蟲）。2.分析與檢測的方法惡意代碼與其檢測是一個貓捉老鼠的游戲，單從檢測的角度來說。反惡意代碼的腳步總是落后于惡意代碼的發(fā)展，是被動的.目前基于主機(jī)的惡意代碼檢測方法主要有反惡意代碼軟件、完整性校驗(yàn)法以及手動檢測，基于網(wǎng)絡(luò)的檢測方法主要有基于神經(jīng)網(wǎng)絡(luò)”、基于模糊識別“等方法，本文主要討論基于主機(jī)的檢測。2.1惡意代碼分析方法2.1.1靜態(tài)分析方法是指在不執(zhí)行二進(jìn)制程序的條件下進(jìn)行分析，如反匯編分析，源代碼分析，二進(jìn)制統(tǒng)計分析，反編譯等，屬于逆向工程分析方法。（1）靜態(tài)反匯編分析，是指分析人員借助調(diào)試器來對而已代碼樣本進(jìn)行反匯編出來的程序清單上根據(jù)匯編指令碼和提示信息著手分析。（2）靜態(tài)源代碼分析，在擁有二進(jìn)制程序的源代碼的前提下，通過分析源代碼來理解程序的功能、流程、邏輯判定以及程序的企圖等。（3）反編譯分析，是指經(jīng)過優(yōu)化的機(jī)器代碼恢復(fù)到源代碼形式，再對源代碼進(jìn)行程序執(zhí)行流程的分析。2.1.2動態(tài)分析方法是指惡意代碼執(zhí)行的情況下利用程序調(diào)試工具對惡意代碼實(shí)施跟蹤和觀察，確定惡意代碼的工作過程對靜態(tài)分析結(jié)果進(jìn)行驗(yàn)證。（2）誤用檢測也稱基于特征的檢測基于特征的檢測首先要建立特征規(guī)則庫，對一個數(shù)據(jù)包或數(shù)據(jù)流里德數(shù)據(jù)進(jìn)行分析，然后與驗(yàn)證特征庫中的特征碼來校驗(yàn)。2.2.3現(xiàn)有檢測方法分析與評價到目前為止，沒有一個完全的檢測方案能夠檢測所有的惡意代碼，可以肯定的是無論從理論還是實(shí)踐來說，應(yīng)用系統(tǒng)級惡意代碼的檢測相對容易，內(nèi)核級的就要復(fù)雜和困難的多。殺毒軟件仍然是必要的最快的檢測方法，因?yàn)槟抉R的運(yùn)行需要網(wǎng)絡(luò)的支持，所以在檢測時需要本地系統(tǒng)與網(wǎng)絡(luò)狀態(tài)同對進(jìn)行檢測。目前，多數(shù)的檢測工具都是在應(yīng)用層上工作的，對于檢測工作在內(nèi)核級的惡意代碼顯得力不從心。2.3分析與檢測常用工具（1）TcpView網(wǎng)絡(luò)活動狀態(tài)監(jiān)視工具是運(yùn)行于微軟Windows系統(tǒng)下的一款小巧的TCPUDP、狀態(tài)觀察工具。（2）OllyDbg動態(tài)調(diào)試工具是一款用戶級調(diào)試器，具有優(yōu)秀的圖形界面，和內(nèi)核級調(diào)試器。（3）IDAPro反匯編工具是一個非常好的反匯編工具，可以更好的反匯編和進(jìn)行深層次的分析。（4）InstallSpy系統(tǒng)監(jiān)視工具能夠監(jiān)視在計算機(jī)操作系統(tǒng)上安裝或運(yùn)行其他程序時對本機(jī)操作系統(tǒng)的文件系統(tǒng)、注冊表的影響。3.實(shí)現(xiàn)系統(tǒng)方面（以蜜罐系統(tǒng)為例）3.2利用客戶端蜜罐技術(shù)對惡意網(wǎng)頁進(jìn)行檢測3.2.1客戶端蜜罐與服務(wù)端蜜罐傳統(tǒng)的蜜罐技術(shù)是基于服務(wù)器形式的，不能檢測客戶端攻擊.例如低交互蜜罐Honeyd或高交互的蜜網(wǎng)，擔(dān)當(dāng)?shù)氖且环N服務(wù)，故意暴漏出一些服務(wù)的弱點(diǎn)并被動的等待被攻擊。然而，檢測客戶端攻擊，系統(tǒng)需要積極地域服務(wù)器交互或處理惡意數(shù)據(jù)。因此就需要一種新型的蜜罐系統(tǒng)：客戶端蜜罐.客戶端蜜罐的思想是由蜜罐創(chuàng)始人LanceSpitzner于2004年6月提出的.客戶端蜜罐在網(wǎng)絡(luò)中和眾多服務(wù)器交互，根據(jù)其而已行為的特性將它們分類?？蛻舳嗣酃藓蛡鹘y(tǒng)蜜罐的不同之處主要由以下幾點(diǎn)：（1）客戶端蜜罐是模擬客戶端軟件并不是建立有漏洞的服務(wù)以等待被攻擊。（2）它并不能引誘攻擊，相反它是主動與遠(yuǎn)程服務(wù)器交互，主動讓對方攻擊自己。（3）傳統(tǒng)蜜罐將所有的出入數(shù)據(jù)流量都視為是惡意有危險的.而客戶端蜜罐則要視其服務(wù)是惡性或良性與否來判斷。和傳統(tǒng)蜜罐類似，客戶端蜜罐也分為兩種類型：低交互和高交互客戶端蜜罐。低交互客戶端蜜罐主要是用模擬一個客戶端的應(yīng)用程序和服務(wù)端程序交互，然后根據(jù)已建立的“惡意”行為庫將服務(wù)端程序進(jìn)行分類.通常是通過靜態(tài)的分析和簽名匹配來實(shí)現(xiàn)的。低交互的客戶端蜜罐有點(diǎn)在于檢測速度非常快，單畢竟它不是一個真正的客戶端，從而有程序方面的局限性，所以容易產(chǎn)生誤報和漏報.低交互的客戶端蜜罐也不能模擬客戶端程序的所有漏洞和弱點(diǎn)。另一種高交互的客戶端蜜罐則采用了不同的方法來對惡意的行為進(jìn)行分類，它使用真是操作系統(tǒng)，在上面運(yùn)行真是的未打補(bǔ)丁或有漏洞的客戶端應(yīng)用程序和有潛在威脅的服務(wù)程序進(jìn)行交互。每次交互以后，檢測操作系統(tǒng)是有有未授權(quán)的狀態(tài)修改，如果檢測到有狀態(tài)的修改，則此服務(wù)器被認(rèn)定為有惡意行為.因?yàn)椴皇褂煤灻ヅ涞姆椒?，高交互的客戶端蜜罐可以用來檢測位置類型的攻擊。3.2.2低交互客戶端蜜罐檢測低交互客戶端蜜罐使用迷你的客戶端代替真實(shí)系統(tǒng)和服務(wù)器交互，隨后采用基于靜態(tài)分析的方法來分析服務(wù)器響應(yīng)結(jié)構(gòu)（如簽名匹配、啟發(fā)式方法等），這些方法可以增強(qiáng)蜜罐的檢測性能，能檢測出高交互客戶端蜜罐通常檢測不到惡意響應(yīng)，如時間炸彈。由于低交互客戶端蜜罐采用模擬客戶端和靜態(tài)分析，很有可能會錯過一些位置類型的攻擊。低交互客戶端蜜罐一般有三個任務(wù)要完成：“發(fā)送請走給服務(wù)器，接受和處理響應(yīng)。其中客戶端蜜罐需要建立一個隊(duì)列存放訪問服務(wù)器的諸多請求，訪問工具再從此隊(duì)列中取出請求執(zhí)行去訪問不同的服務(wù)器。可以采用一些算法構(gòu)建服務(wù)器請求隊(duì)列，如網(wǎng)絡(luò)爬蟲爬取的定的頁面從中搜集連接。服務(wù)器返回結(jié)果后，蜜罐需要對系統(tǒng)或服務(wù)器的響應(yīng)信息進(jìn)行分析，比對是否有違反系統(tǒng)安全策略的響應(yīng)。3.2.3高交互客戶端蜜罐檢測高交互客戶端蜜罐系統(tǒng)從多方面監(jiān)控系統(tǒng)：（1）window系統(tǒng)的注冊表的監(jiān)控，例如是否有key的改動或新key的建立；（2）文件系統(tǒng)更改的監(jiān)控，如文件的創(chuàng)建或刪除；（3）進(jìn)程結(jié)構(gòu)中進(jìn)程創(chuàng)建或銷毀的監(jiān)控。高交互的客戶端蜜罐的科研型產(chǎn)品有Honeyclient、Honey-monkey、UW.Honeyclient通過監(jiān)視一系列的文件、目錄和系統(tǒng)配置文件的狀態(tài)來判斷是否受到攻擊，當(dāng)Honeyclient和服務(wù)器交互后，其監(jiān)視的內(nèi)容狀態(tài)如果發(fā)生改變，則認(rèn)為收到攻擊。Honey-monkey也是通過監(jiān)視一系列的可執(zhí)行文件盒注冊表?xiàng)l目的狀態(tài)變化來確定是否首受到入侵的，不過Honey-monkey更進(jìn)一步，它在指令系統(tǒng)中加入監(jiān)視子進(jìn)程來檢測客戶端攻擊。UWclinet蜜罐利用文件活動、進(jìn)程創(chuàng)建、注冊表活動事件的triger一級瀏覽器的crasher來確定客戶端攻擊。3.2.4高交互客戶端蜜罐Capture-HPC目前高交互客戶端蜜罐最具前沿性和代表性的產(chǎn)品為Capture-HPC.其主要使用于檢測driver-by-downloads類型的惡意網(wǎng)站服務(wù)器，即該類型的網(wǎng)站在未經(jīng)用戶同意的情況下改變客戶端系統(tǒng)轉(zhuǎn)改，能夠在用戶不知情的情況下控制客戶端機(jī)器并安裝惡意軟件、木馬等。對于檢測如釣魚網(wǎng)站等獲取用戶銘感信息的惡意網(wǎng)站Capture-HPC則不太適合。客戶端銘感運(yùn)行在VMware虛擬機(jī)上.如果有未授權(quán)狀態(tài)的改變，即受到惡意網(wǎng)頁攻擊時，其攻擊事件會被記錄下來，在與下一個王志艷服務(wù)器交互之前虛擬機(jī)會將銘感的狀態(tài)重置到原始狀態(tài)。（1）結(jié)構(gòu)體系高交互客戶端銘感架構(gòu)主要分為兩個部分Capture服務(wù)器和Capture客戶端，Capture服務(wù)器的作用主要是控制眾多Capture客戶端，其能安裝于多種VMware服務(wù)環(huán)境和多種客戶環(huán)境.Capture服務(wù)器可啟動和停止客戶端，命令客戶端和Web服務(wù)器交互得到特定的URL。它還可以講與Capture客戶端監(jiān)護(hù)的Web服務(wù)器信息分類并匯總.完成實(shí)際工作的則是Capture客戶端。它們接受服務(wù)端的指令開始或停止，選擇一種瀏覽器訪問Web服務(wù)器。作為一個與Web服務(wù)器交互的Capture客戶端，它要監(jiān)視來授權(quán)狀態(tài)的改變并將信息發(fā)回到Capture服務(wù)器.一旦懷疑是惡意的，在客戶端訪問下一個服務(wù)器前，Capture服務(wù)器就會將其客戶端的系統(tǒng)狀態(tài)充值到原始狀態(tài)。（2）關(guān)鍵技術(shù)Capture服務(wù)器采用簡單TCP/IP協(xié)議作為服務(wù)聽信協(xié)議來管理Capture客戶端，VMware服務(wù)器則長官運(yùn)行在Capture客戶端上的客戶操作系統(tǒng)。Capture服務(wù)器將其接收到的URL以循環(huán)的方式分配給有效的客戶端，然后Capture服務(wù)器在某個特定的端口（如7070）上監(jiān)聽連接到Server上的客戶端。C