本文關(guān)鍵詞： APT木馬 行為分析 自動(dòng)化 PANDA 系統(tǒng)調(diào)用　出處：《山東大學(xué)》2017年碩士論文　論文類型：學(xué)位論文

【摘要】：隨著信息時(shí)代的發(fā)展,各國(guó)在網(wǎng)絡(luò)空間領(lǐng)域的斗爭(zhēng)每天都在上演,有組織、有預(yù)謀、以信息情報(bào)獲取為目的的APT攻擊已嚴(yán)重影響我國(guó)政府和企業(yè)的信息安全,我網(wǎng)絡(luò)空間主權(quán)受到嚴(yán)重挑戰(zhàn)。APT木馬作為APT攻擊的重要武器,在控制、滲透、竊密環(huán)節(jié)均發(fā)揮著不可替代的作用。所以研究APT木馬啟動(dòng)隱藏技術(shù),并對(duì)APT木馬樣本執(zhí)行過(guò)程進(jìn)行動(dòng)態(tài)分析,發(fā)現(xiàn)其主機(jī)層面和網(wǎng)絡(luò)層面的惡意行為,對(duì)明確APT木馬網(wǎng)絡(luò)攻擊技術(shù)和網(wǎng)絡(luò)通信要素,提高我國(guó)網(wǎng)絡(luò)空間防御能力具有十分重要的作用。目前對(duì)木馬啟動(dòng)隱藏技術(shù)的研究,基本上都未對(duì)較新的COM組件劫持隱藏技術(shù)進(jìn)行分析;木馬行為分析多數(shù)以HOOK方式獲取API序列實(shí)現(xiàn),主要存在兩點(diǎn)弊端:一是HOOK方式破壞樣本完整性,易被木馬檢測(cè)發(fā)現(xiàn);二是很多精心構(gòu)造的木馬開(kāi)始直接使用系統(tǒng)調(diào)用實(shí)現(xiàn)函數(shù)功能,API序列的細(xì)粒度已無(wú)法滿足APT木馬行為分析要求。本文通過(guò)對(duì)研究近幾年的APT攻擊報(bào)告,深入分析了服務(wù)方式、注冊(cè)表方式、自啟動(dòng)目錄方式、DLL劫持以及COM組件劫持等木馬啟動(dòng)技術(shù),DLL注入、高級(jí)內(nèi)存注入、APC注入和進(jìn)程挖空隱藏等木馬隱藏技術(shù)。通過(guò)分析系統(tǒng)調(diào)用過(guò)程和內(nèi)存數(shù)據(jù)結(jié)構(gòu),確定了以系統(tǒng)調(diào)用序列來(lái)刻畫木馬主機(jī)行為、以網(wǎng)絡(luò)通信日志及通信數(shù)據(jù)體現(xiàn)木馬網(wǎng)絡(luò)行為的研究方案。本文在深入理解二進(jìn)制動(dòng)態(tài)分析平臺(tái)PANDA原理及插件架構(gòu)的基礎(chǔ)上,構(gòu)建了"左眼"APT木馬行為分析系統(tǒng)。該系統(tǒng)由虛擬執(zhí)行環(huán)境模塊、客戶交互網(wǎng)頁(yè)模塊、服務(wù)端控制模塊、關(guān)鍵系統(tǒng)調(diào)用獲取模塊、內(nèi)存分析檢測(cè)模塊、網(wǎng)絡(luò)行為獲取模塊、域名信息獲取模塊組成。本著"實(shí)用化、自動(dòng)化"的原則,編寫了提供任務(wù)發(fā)布和結(jié)果查看的客戶交互接口網(wǎng)站。使用Python編寫服務(wù)端控制模塊腳本,可根據(jù)任務(wù)配置信息控制系統(tǒng)自動(dòng)實(shí)施分析流程,實(shí)現(xiàn)了對(duì)QEMU虛擬機(jī)的控制和PANDA插件的調(diào)用�；诙M(jìn)制動(dòng)態(tài)分析平臺(tái)PANDA開(kāi)發(fā)了關(guān)鍵系統(tǒng)調(diào)用監(jiān)視插件,實(shí)現(xiàn)了樣本執(zhí)行過(guò)程中系統(tǒng)調(diào)用序列的獲取�；赪TAP開(kāi)發(fā)PANDA網(wǎng)絡(luò)數(shù)據(jù)截獲插件,獲取可利用WireShark開(kāi)展分析的虛擬機(jī)網(wǎng)絡(luò)通信數(shù)據(jù)。封裝內(nèi)存分析工具Volatility和服務(wù)仿真程序InetSim為系統(tǒng)模塊,并實(shí)現(xiàn)調(diào)用接口。實(shí)現(xiàn)自動(dòng)調(diào)用PANDA插件獲取Record回放至客戶指定百分比時(shí)的虛擬機(jī)內(nèi)存鏡像,并調(diào)用Volatility開(kāi)展API HOOK分析。利用InetSim仿真木馬通聯(lián)服務(wù)器促使木馬開(kāi)始交互后的動(dòng)作,獲取網(wǎng)絡(luò)通信行為日志。開(kāi)發(fā)域名信息獲取模塊,對(duì)APT木馬樣本的通聯(lián)域名進(jìn)行收集和分析。本系統(tǒng)部署構(gòu)建完成后,已應(yīng)用于單位實(shí)際工作中。從分析結(jié)果來(lái)看,系統(tǒng)能夠根據(jù)客戶提交的任務(wù)配置自動(dòng)完成分析流程,能夠有效識(shí)別出樣本進(jìn)程及其邏輯子進(jìn)程并獲取所關(guān)注的系統(tǒng)調(diào)用序列,能夠?qū)?zhí)行過(guò)程中截取的內(nèi)存快照進(jìn)行API Hook檢測(cè),能夠獲取樣本執(zhí)行虛擬機(jī)與仿真木馬控制器間的網(wǎng)絡(luò)日志及通信數(shù)據(jù),大大促進(jìn)了 APT木馬樣本分析工作的開(kāi)展。
[Abstract]:With the development of information age , every day in the field of network space , all countries have played an irreplaceable role in the development of network space . According to the analysis result , the system can automatically complete the analysis flow according to the task configuration submitted by the customer , can effectively identify the sample process and the logic sub - process and acquire the system call sequence of interest , can effectively identify the sample process and the logic sub - process and acquire the system call sequence of interest , can obtain the network log and communication data between the sample execution virtual machine and the simulation Trojan controller , and greatly promotes the development of the APT Trojan sample analysis work .

【學(xué)位授予單位】：山東大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 楊文泉,陸陽(yáng);利用系統(tǒng)調(diào)用的延滯對(duì)入侵進(jìn)行自反應(yīng)[J];計(jì)算機(jī)工程與應(yīng)用;2003年06期

2 李夢(mèng)雨;;關(guān)于系統(tǒng)調(diào)用的發(fā)展研究綜述[J];河北經(jīng)貿(mào)大學(xué)學(xué)報(bào)(綜合版);2010年01期

3 姚立紅 ,訾小超 ,黃皓 ,茅兵 ,謝立;基于系統(tǒng)調(diào)用特征的入侵檢測(cè)研究[J];電子學(xué)報(bào);2003年08期

4 羅寧,喻莉;一種基于系統(tǒng)調(diào)用異常檢測(cè)的改進(jìn)算法[J];電子工程師;2005年07期

5 劉雪飛;王申強(qiáng);吳伯橋;馬恒太;;基于系統(tǒng)調(diào)用的入侵檢測(cè)新方法[J];計(jì)算機(jī)應(yīng)用研究;2006年12期

6 陶芬;尹芷儀;傅建明;;基于系統(tǒng)調(diào)用的軟件行為模型[J];計(jì)算機(jī)科學(xué);2010年04期

7 吳瀛;江建慧;張蕊;;基于系統(tǒng)調(diào)用的入侵檢測(cè)研究進(jìn)展[J];計(jì)算機(jī)科學(xué);2011年01期

8 劉竹;陳晶;方良;;基于支持向量數(shù)據(jù)描述的系統(tǒng)調(diào)用軌跡異常檢測(cè)[J];計(jì)算機(jī)應(yīng)用與軟件;2012年01期

9 李珍;田俊峰;楊曉暉;;基于系統(tǒng)調(diào)用屬性的程序行為監(jiān)控[J];計(jì)算機(jī)研究與發(fā)展;2012年08期

10 吳瀛;江建慧;;基于進(jìn)程軌跡最小熵長(zhǎng)度的系統(tǒng)調(diào)用異常檢測(cè)[J];計(jì)算機(jī)應(yīng)用;2012年12期

相關(guān)會(huì)議論文 前6條

1 吳瀛;江建慧;;一種基于異常模式的系統(tǒng)調(diào)用異常檢測(cè)[A];第六屆中國(guó)測(cè)試學(xué)術(shù)會(huì)議論文集[C];2010年

2 陳林博;江建慧;張丹青;;基于多版本冗余進(jìn)程的容侵系統(tǒng)[A];第十四屆全國(guó)容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議(CFTC'2011)論文集[C];2011年

3 朱國(guó)強(qiáng);劉真;李宗伯;;基于程序行為分析的入侵檢測(cè)技術(shù)研究[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

4 符蓉;徐向陽(yáng);王靖;;Linux下基于交叉視圖的隱蔽惡意代碼檢測(cè)[A];第八屆全國(guó)信息隱藏與多媒體安全學(xué)術(shù)大會(huì)湖南省計(jì)算機(jī)學(xué)會(huì)第十一屆學(xué)術(shù)年會(huì)論文集[C];2009年

5 石玉平;何銀南;郭俊杰;張琳;;機(jī)電測(cè)控系統(tǒng)調(diào)用Matlab函數(shù)的實(shí)現(xiàn)[A];制造技術(shù)自動(dòng)化學(xué)術(shù)會(huì)議論文集[C];2002年

6 高巖;董占球;;有限目標(biāo)的系統(tǒng)級(jí)防護(hù)技術(shù)的研究與實(shí)現(xiàn)[A];第十八次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2003年

相關(guān)重要報(bào)紙文章 前1條

1 鄭林;保護(hù)關(guān)鍵服務(wù)器[N];網(wǎng)絡(luò)世界;2002年

相關(guān)博士學(xué)位論文 前3條

1 徐明;基于系統(tǒng)調(diào)用的異常入侵檢測(cè)技術(shù)及IDS擴(kuò)展功能的研究[D];浙江大學(xué);2003年

2 尹芷儀;基于結(jié)構(gòu)指紋和污點(diǎn)跟蹤的軟件行為模型研究[D];武漢大學(xué);2010年

3 張桂玲;基于軟計(jì)算理論的入侵檢測(cè)技術(shù)研究[D];天津大學(xué);2006年

相關(guān)碩士學(xué)位論文 前10條

1 蘇杰;基于系統(tǒng)調(diào)用的入侵檢測(cè)研究[D];華中科技大學(xué);2007年

2 徐文龍;虛擬化系統(tǒng)進(jìn)程防護(hù)技術(shù)研究與實(shí)現(xiàn)[D];南京理工大學(xué);2015年

3 趙尚杰;云環(huán)境下多層次粒度可控的安全審計(jì)方法研究[D];哈爾濱工業(yè)大學(xué);2015年

4 楊洋;基于Linux進(jìn)程行為的入侵檢測(cè)技術(shù)研究[D];電子科技大學(xué);2014年

5 馮威;基于內(nèi)核對(duì)象的動(dòng)態(tài)惡意代碼檢測(cè)[D];哈爾濱工業(yè)大學(xué);2014年

6 王新澈;基于行為的軟件胎記技術(shù)研究[D];南京大學(xué);2013年

7 雷聲威;層次化軟件可信度量模型研究與設(shè)計(jì)[D];北京工業(yè)大學(xué);2016年

8 袁鑫;融合入侵檢測(cè)的SELinux安全性增強(qiáng)機(jī)制[D];西安電子科技大學(xué);2015年

9 劉凱歌;基于系統(tǒng)調(diào)用和程序數(shù)據(jù)依賴的軟件胎記的研究[D];南京大學(xué);2014年

10 蘇鵬;面向過(guò)程的APT木馬行為動(dòng)態(tài)分析[D];山東大學(xué);2017年

，

本文編號(hào)：1536027