海量未知木马机器分析-黄正.

黄正•黄正•百度，基础架构部，安全组•高级安全研发工程师•主要研究方向–恶意代码检测–钓鱼欺诈检测•一封邮件导致严重入侵事件–提取后门特征，确定感染面–如何避免类似攻击发生•反病毒邮件网关–仅修改一个字节即可绕过反病毒邮件网关•CVE-2012-0158POC，Gmail,网易邮箱•安全卫士+杀毒软件–无法应对高级木马–不符合详细分析需求•动态沙箱分析•观察、监控、修改程序二进制代码Movzxecx,[rax+02x]Call0x77ef7870Cmprax,rdxJz0x77f1eac9…somecode…somecodeMovzxecx,[rax+02x]…somecode…somecodeCall0x77ef7870…somecode…somecodeCmprax,rdx…somecode…somecodeJz0x77f1eac9•模块间控制转移Notepad.exeKernel32.dllntdll.dllCall/JMPRetCall/JMPRetCall/JMPRet•改写所有控制转移指令–Call0x12341234/dwordptr[0x12341234]–Calleax/dwordptr[ebx+08h]–Jmp0x11223344/dwordptr[0x11223344]–Jmpeax/dwordptr[eax+08h]–Ret–Ret4•得到程序完整执行轨迹[srcaddr:00406F7C][destaddr:7C80236B][srcaddr:7C802398][destaddr:00487D07][srcaddr:004070F4][destaddr:7C839725][srcaddr:7C839742][destaddr:00487D3C][srcaddr:004071C4][destaddr:7C8021D0][srcaddr:7C8021FA][destaddr:00487D6A][srcaddr:0040726C][destaddr:7C80BA30][srcaddr:7C80BA59][destaddr:00487D8C][srcaddr:00487C60][destaddr:7C92DEF0][srcaddr:7C92DEFC][destaddr:00487C62]•执行轨迹+符号[sample.exe+0x6f7c]-[CreateProcessA+0x0][CreateProcessA+0x2d]-[sample.exe+0x87d07][sample.exe+0x70f4]-[GetThreadContext+0x0][GetThreadContext+0x1d]-[sample.exe+0x87d3c][sample.exe+0x71c4]-[ReadProcessMemory+0x0][ReadProcessMemory+0x2a]-[sample.exe+0x87d6a][sample.exe+0x726c]-[VirtualQueryEx+0x0][VirtualQueryEx+0x29]-[sample.exe+0x87d8c][sample.exe+0x87c60]-[ZwUnmapViewOfSection+0x0][ZwUnmapViewOfSection+0xc]-[sample.exe+0x87c62]•执行轨迹+符号+函数调用参数MBR@[srcaddr:00406F7C][sample.exe+0x6f7c]---[destaddr:7C80236B][kernel32.dll!CreateProcessA+0x0][lpCommandLine]=00000000[lpApplicationName]=“C:\IEXPLORE.EXE”[dwCreationFlags]=00000004[wShowWindow]=0•覆盖常用对象进程线程文件目录注册表内存操作权限提升DNS查询Http请求Socket窗体事件互斥字符串……•基于执行轨迹分析判定–上百条判定依据•基于执行轨迹分析判定–Huigezi0:打开delphi的注册表1:suspend方式创建进程:c:\temp\sample.exe2:获取线程上下文3:卸载其他进程内存:c:\temp\sample.exe4:注入代码到进程:c:\temp\sample.exe5:设置线程上下文6:启动socket网络连接7:创建事件:00000000样本名称样本说明貔貅系统检出结果某沙箱检出结果ErrorReport1APT攻击样本1病毒类型:后门病毒信息:Ghost后门远程注入其他进程ErrorReport2APT攻击样本2病毒类型:后门病毒信息:svchost后门篡改系统文件关闭Windows系统文件保护Gh0st.exeGh0st后门病毒类型:后门病毒信息:Ghost后门运行后删除自身，警惕恶意软件！WOW盗号木马盗号木马病毒类型:盗号木马病毒信息:魔兽世界,龙之谷盗号木马疑似查找游戏进程运行后删除自身，警惕恶意软件！大白鲨大白鲨后门病毒类型:后门病毒信息:大白鲨后门启动宿主进程，注入代码尝试连接疑似黑客主机天空下载病毒天空下载站ARP攻击下载病毒病毒类型:后门病毒信息:大白鲨后门2运行后删除自身，警惕恶意软件！灰鸽子灰鸽子病毒类型:后门病毒信息:delphi后门运行后删除自身，警惕恶意软件！非法注入系统进程，绑定监听端口。启动宿主进程，注入代码，茶苑推广百度搜索茶苑推广绑马病毒类型:Adware病毒信息:StartPage疑似捆绑多个文件，警惕流氓软件捆绑推广或病•文档类样本•多杀毒软件引擎?•ALL-IN-ONE–单个分析节点包含所有模块•使用模版快速复制–“一键式”分布式部署•如何提升分析效率–分析节点复用–恢复开机快照•吞吐量与分析结点成正比•邮件安全检测系统•恶意软件分析引擎•IPS、IDS运维辅助分析工具••