搜索
恶意代码的样本关联与追踪安天实验室提纲从两个案例说恶意代码同源关系从同源关系到基因关联更广泛的关联与表现挑战与未来从两个案例说恶意代码同源关系视频应急之魂同源性判定片段Sasser.a&NetSky.adName:Worm/Win32.Sasser.a[NET]Worm/Win32.NetSky.ad[Email]Packed:PECompact2.06BataPPECompact2.06BataDT:MicrosoftVisualC++6.0MicrosoftVisualC++6.0口令蠕虫和爱之门中国(疑似)口令档:88个使用:XCMD产地未知口令档:83个使用PSEXEC?Dvlodr&Lovegate口令蠕虫密码档分析类似爱之门第六个变种密码档密码档分析其他分析排除名称:Lovegate.f密码档:88个串源头:中国?口令破解方式:X-CMD名称:Dvlodr密码档:88个串源头:中国?口令破解方式:PSEXEC基础同源关系代码原始执行体传播执行体独立执行体新版本代码修改后执行体修改买卖共享编译感染传播执行体配置定制加壳加密入口处理感染嵌入组合执行体原始的关联分析图景逻辑能力•IQ=147敏锐度•AVLPK经验•15000SampleSwordlea:安天CERT负责人逻辑能力•IQ140敏锐度•软写入•隧洞攻击经验•CIH1.1•……•CIH1.4陈赢豪:CIH病毒作者传统维艰基因关联与自动化命名自动化基础——基因提取短代码片段典型入口特性(预处理后)导入/导出表互斥量典型字符串例子:灰鸽子的基因提取n-gram变长基因提取•短代码片段典型字符串1.灰鸽子远程控制服务端安装成功!2.插件没有返回数据3.打开http代理命令执行完毕!4.打开socks5代理命令执行完毕!5.主机查找已取消互斥量例子:灰鸽子的基因提取基因价值与两难基因分析自动化命名追踪关联分析结论追踪关联自动化命名基因分析恶意代码分析压力是不是•黑白判定是什么•分类命名怎么查•特征提取怎么杀•处置方法0100黑白判定分类命名特征提取处置方法资源压力资源指数DOS时代当前情况基因自动化命名的问题交叉引用!似是而非!准确率50%多层次自动化命名机制基因同源典型行为特殊形态编译器后台自动化体系Backdoor/Win32.Hupigon.arbvTrojan/Win32.QQPass.gh[Stealer]Virus/Win32.Small.aaTrojan/Win32.Genome.akTrojan/Win32.VB.ab差异性和扩散规律共性内容•基础功能个性内容•图标•PE时间戳•互斥量•提交地址/提交参数熊猫烧香的进化分析图标递变更广泛的关联与表现作案工具的场景制造场景•地下兵工厂•木马作者交易场景•黑市•木马交易存放场景•货场•挂马站点/放马站点使用场景•作案现场•主机安全事件结构的复杂化尝试一:放马事件的关联尝试二:静态文件关系的表现挑战与未来我们面临的问题VX•源码买卖•个案/小众化•多层次挑战AV•有限的人力•有限的计算能力•有限的资源AV厂商的云时代尴尬无意义无价值无动力谢谢尽管我形单影只,但如果你发现我脚下的路通往未来,请与我同行。seak@antiy.com