恶意代码分析-溯源

恶意代码攻击链

恶意攻击的活动大概有7步:

 

 Reconnaissance:侦察,利用社会工程学了解攻击目标。

Weaponization:定向的攻击工具制作,常见的工具交付形态是带有恶意代码的pdf文件或者office文件。

Delivery:把攻击工具输送到目标系统上,APT攻击者最常用三种方式来传送攻击工具,包括邮件的附件、网站、USB等移动存储设备。

Exploitation:攻击代码在目标系统上触发,利用目标系统的应用或操作系统漏洞控制目标。

Installation:远程控制程序的安装,使得攻击者可以长期潜伏在目标系统中。

Command and Control(C&C):被攻破的主机一般会与互联网控制器服务器建立一个C2通信,从而进行通信。

Actions and Objectives:经过前面六个过程,攻击者后面主要的行为包括:

偷取目标系统的信息,破坏信息的完整性及其可用性等。

进一步以控制的机器为跳转攻击其他机器。

 

追踪溯源方法

溯源应当以当前的恶意样本为中心,通过对静态特征和动态行为进行分析,解决如下问题:

  • 谁发动的攻击?攻击背景是什么?
  • 攻击的意图是什么?
  • 谁编写的样本?
  • 样本使用了哪些攻击技术?
  • 攻击过程中使用了哪些攻击工具?
  • 整个攻击过程是怎样的?

恶意样本追踪溯源可以采取如下方法:

 

 域名/IP

这种溯源方法是最基本的方法,通过对攻击者使用的域名和IP地址进行分析,挖掘攻击源头。

 

 查询域名的whois信息,可以关联到攻击者部分信息,注册名,注册邮箱,注册地址,电话,注册时间,服务商等。

入侵日志

这种溯源分析方法偏向于主机取证分析,攻击者在入侵到主机后的行为分析。

对攻击者留下的大量操作日志进行分析后,可以提取到相关攻击者的信息。

链接服务器时使用VPS信息。

登录主机后,一般为了维持对主机的访问权限,会尝试创建自己的账号及密码。

攻击者为了偷取数据,使用的ftp或者数据服务器信息。

通过对攻击者的登录时间进行分析,可以基本定位所在大区域。

登录主机后的操作模型,不同攻击者,入侵成功后进行的行为有差异,每个人都有自己的行为指纹特征。

大多使用三种通信方式进行窃取敏感信息:ftp、smtp、http。

全流量分析

某些攻击者或者组织的反跟踪意识很强,基本上不会留下任何痕迹,在达成入侵目标后,会完全清楚入侵痕迹,或者干脆销毁主机硬盘。

同源分析

该方法主要为在获取到恶意样本之后,很难第一时间关联到攻击者或者样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或者团体。

这种溯源方法多用于定位APT组织或者某些知名的黑客团体的行动。

每个程序员在软件实现时,会使用自己比较熟悉的一套代码风格或者实现算法,每个团伙或者组织在攻击目标时也会有自己一套特有的攻击方法,针对恶意样本可以通过行为日志的相似度,代码混淆风格,以及相关的实现算法进行同源判定。

 

posted @ 2021-04-19 16:23  ReVe1Se  阅读(563)  评论(0编辑  收藏  举报