利用符號執(zhí)行對抗APT樣本反沙箱檢測的研究
發(fā)布時間:2021-05-21 17:01
隨著辦公數(shù)字化、數(shù)據(jù)云端化等概念在政府、企業(yè)、高校、軍隊(duì)內(nèi)的不斷落地,針對這些目標(biāo)的攻擊事件層出不窮。在所有類型的攻擊事件中,由于高級可持續(xù)性威脅(APT)的攻擊目標(biāo)明確、攻擊行為多樣、攻擊階段復(fù)雜、時間跨度長,是公認(rèn)的最難以分析的攻擊事件。隨著資源的增加、技術(shù)的進(jìn)步,采用沙箱技術(shù)來動態(tài)分析APT樣本的企業(yè)逐步增加,沙箱動態(tài)分析被認(rèn)為是防御APT的最后一道防線。然而,目前超過80%的APT樣本采用多種機(jī)制探測沙箱環(huán)境,當(dāng)發(fā)現(xiàn)自身運(yùn)行于異常環(huán)境時會停止惡意行為。對于符號執(zhí)行系統(tǒng),反沙箱檢測會導(dǎo)致程序分析產(chǎn)生多個分支,惡意行為的分支淹沒其中。進(jìn)一步,如果無害行為中分支存在混淆代碼,會造成路徑爆炸問題,甚至導(dǎo)致符號執(zhí)行系統(tǒng)的崩潰。通過對符號執(zhí)行核心原理的分析,并且結(jié)合APT報(bào)告中出現(xiàn)的反沙箱檢測機(jī)制,本文使用開源二進(jìn)制符號執(zhí)行工具ANGR作為基礎(chǔ)系統(tǒng),在其上補(bǔ)充了Win32 API掛鉤、VEX指令修補(bǔ)、內(nèi)存結(jié)構(gòu)完善三種插件,并設(shè)計(jì)了一種可應(yīng)對未知反沙箱檢測的托底方案,開發(fā)了原型系統(tǒng)。原型系統(tǒng)既可以使程序只執(zhí)行包含惡意行為的分支,又可以自動生成反沙箱檢測的IOC指標(biāo),代表攻擊者使用工具的特征。...
【文章來源】:上海交通大學(xué)上海市 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:93 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.3 目的和意義
1.4 論文結(jié)構(gòu)
第二章 符號執(zhí)行概述
2.1 符號執(zhí)行的定義與挑戰(zhàn)
2.1.1 靜態(tài)符號執(zhí)行
2.1.2 動態(tài)符號執(zhí)行
2.1.3 符號執(zhí)行挑戰(zhàn)
2.2 中間語言
2.2.1 中間語言特點(diǎn)
2.2.2 LLVM
2.2.3 VEX
2.3 約束求解
2.3.1 約束滿足問題
2.3.2 SMT求解器
2.3.3 約束求解在符號執(zhí)行中的優(yōu)化
2.3.4 常用求解器
2.4 內(nèi)存模型
2.4.1 靜態(tài)符號執(zhí)行的內(nèi)存模型
2.4.2 動態(tài)符號執(zhí)行的內(nèi)存模型
2.5 常見符號執(zhí)行工具介紹
2.5.1 KLEE
2.5.2 Angr
2.5.3 其他語言的符號執(zhí)行
2.6 符號執(zhí)行應(yīng)用場景
2.6.1 測試用例生成
2.6.2 漏洞利用自動化
2.7 本章小結(jié)
第三章 APT樣本分析與反分析技術(shù)研究
3.1 惡意代碼主流分析技術(shù)
3.1.1 靜態(tài)分析技術(shù)
3.1.2 動態(tài)分析技術(shù)
3.1.3 基于語義的分析技術(shù)
3.2 APT樣本反靜態(tài)分析-混淆
3.3 APT樣本反動態(tài)分析-反沙箱技術(shù)
3.3.1 基于系統(tǒng)的反沙箱技術(shù)
3.3.2 基于硬件的反沙箱技術(shù)
3.3.3 基于進(jìn)程的反沙箱技術(shù)
3.3.4 采用特殊方法的反沙箱技術(shù)
3.4 本章小結(jié)
第四章 對抗APT樣本反沙箱檢測方法研究
4.1 反沙箱對符號執(zhí)行的影響
4.2 符號執(zhí)行系統(tǒng)選擇
4.3 Angr完善方法
4.3.1 Win32 API掛鉤
4.3.2 VEX指令修補(bǔ)
4.3.3 內(nèi)存結(jié)構(gòu)完善
4.4 托底方案
4.5 反沙箱IOC生成
4.6 本章小節(jié)
第五章 原型系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)與實(shí)驗(yàn)評估
5.1 原型系統(tǒng)總體架構(gòu)
5.2 對抗反沙箱檢測的實(shí)現(xiàn)方法
5.2.1 Win32 API掛鉤實(shí)現(xiàn)
5.2.2 VEX指令修補(bǔ)實(shí)現(xiàn)
5.2.3 內(nèi)存結(jié)構(gòu)完善實(shí)現(xiàn)
5.2.4 托底方案實(shí)現(xiàn)
5.2.5 實(shí)現(xiàn)總結(jié)
5.3 原型系統(tǒng)評估
5.3.1 分析腳本編寫
5.3.2 縱向比較
5.3.3 橫向比較
5.3.4 實(shí)例分析
5.4 本章小結(jié)
第六章 結(jié)束語
6.1 主要工作與創(chuàng)新點(diǎn)
6.2 后續(xù)研究工作
參考文獻(xiàn)
致謝
攻讀碩士學(xué)位期間已發(fā)表或錄用的論文
攻讀碩士學(xué)位期間專利的申請
【參考文獻(xiàn)】:
期刊論文
[1]一種基于Python符號執(zhí)行的自動化網(wǎng)絡(luò)攻擊流量獲取方法[J]. 陳家浩,王軼駿,呂誠. 計(jì)算機(jī)應(yīng)用與軟件. 2019(02)
[2]基于PyExZ3的Web攻擊流量的采集和分類[J]. 呂誠,王軼駿,薛質(zhì). 通信技術(shù). 2018(12)
[3]基于Ruby符號執(zhí)行的Metasploit攻擊流量提取[J]. 劉煥偉,王軼駿,薛質(zhì). 通信技術(shù). 2018(12)
[4]新形勢下的免殺及防御技術(shù)研究[J]. 胡嘉熙,王軼駿,薛質(zhì). 通信技術(shù). 2017(12)
[5]基于符號執(zhí)行的Python攻擊腳本分析平臺[J]. 邱洋,王軼駿,薛質(zhì). 計(jì)算機(jī)工程. 2016(11)
博士論文
[1]面向復(fù)雜程序結(jié)構(gòu)的測試用例自動生成方法研究[D]. 張旭舟.北京郵電大學(xué) 2018
[2]Concolic測試關(guān)鍵技術(shù)研究[D]. 雷雪.北京郵電大學(xué) 2016
[3]基于編譯器中間語言的軟件運(yùn)行時可靠性研究[D]. 尹杰.清華大學(xué) 2015
[4]基于類型系統(tǒng)的程序驗(yàn)證方法研究[D]. 吳偉.武漢大學(xué) 2013
碩士論文
[1]基于符號化執(zhí)行的測試用例自動生成方法研究[D]. 任瑞國.西安理工大學(xué) 2018
[2]面向C語言的符號執(zhí)行引擎設(shè)計(jì)與實(shí)現(xiàn)[D]. 周寒茹.華東師范大學(xué) 2018
[3]并行分段式符號執(zhí)行的研究與實(shí)現(xiàn)[D]. 王穎.電子科技大學(xué) 2018
[4]符號執(zhí)行工具KLEE約束求解優(yōu)化設(shè)計(jì)與實(shí)現(xiàn)[D]. 康文濤.電子科技大學(xué) 2014
本文編號:3200065
【文章來源】:上海交通大學(xué)上海市 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:93 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.3 目的和意義
1.4 論文結(jié)構(gòu)
第二章 符號執(zhí)行概述
2.1 符號執(zhí)行的定義與挑戰(zhàn)
2.1.1 靜態(tài)符號執(zhí)行
2.1.2 動態(tài)符號執(zhí)行
2.1.3 符號執(zhí)行挑戰(zhàn)
2.2 中間語言
2.2.1 中間語言特點(diǎn)
2.2.2 LLVM
2.2.3 VEX
2.3 約束求解
2.3.1 約束滿足問題
2.3.2 SMT求解器
2.3.3 約束求解在符號執(zhí)行中的優(yōu)化
2.3.4 常用求解器
2.4 內(nèi)存模型
2.4.1 靜態(tài)符號執(zhí)行的內(nèi)存模型
2.4.2 動態(tài)符號執(zhí)行的內(nèi)存模型
2.5 常見符號執(zhí)行工具介紹
2.5.1 KLEE
2.5.2 Angr
2.5.3 其他語言的符號執(zhí)行
2.6 符號執(zhí)行應(yīng)用場景
2.6.1 測試用例生成
2.6.2 漏洞利用自動化
2.7 本章小結(jié)
第三章 APT樣本分析與反分析技術(shù)研究
3.1 惡意代碼主流分析技術(shù)
3.1.1 靜態(tài)分析技術(shù)
3.1.2 動態(tài)分析技術(shù)
3.1.3 基于語義的分析技術(shù)
3.2 APT樣本反靜態(tài)分析-混淆
3.3 APT樣本反動態(tài)分析-反沙箱技術(shù)
3.3.1 基于系統(tǒng)的反沙箱技術(shù)
3.3.2 基于硬件的反沙箱技術(shù)
3.3.3 基于進(jìn)程的反沙箱技術(shù)
3.3.4 采用特殊方法的反沙箱技術(shù)
3.4 本章小結(jié)
第四章 對抗APT樣本反沙箱檢測方法研究
4.1 反沙箱對符號執(zhí)行的影響
4.2 符號執(zhí)行系統(tǒng)選擇
4.3 Angr完善方法
4.3.1 Win32 API掛鉤
4.3.2 VEX指令修補(bǔ)
4.3.3 內(nèi)存結(jié)構(gòu)完善
4.4 托底方案
4.5 反沙箱IOC生成
4.6 本章小節(jié)
第五章 原型系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)與實(shí)驗(yàn)評估
5.1 原型系統(tǒng)總體架構(gòu)
5.2 對抗反沙箱檢測的實(shí)現(xiàn)方法
5.2.1 Win32 API掛鉤實(shí)現(xiàn)
5.2.2 VEX指令修補(bǔ)實(shí)現(xiàn)
5.2.3 內(nèi)存結(jié)構(gòu)完善實(shí)現(xiàn)
5.2.4 托底方案實(shí)現(xiàn)
5.2.5 實(shí)現(xiàn)總結(jié)
5.3 原型系統(tǒng)評估
5.3.1 分析腳本編寫
5.3.2 縱向比較
5.3.3 橫向比較
5.3.4 實(shí)例分析
5.4 本章小結(jié)
第六章 結(jié)束語
6.1 主要工作與創(chuàng)新點(diǎn)
6.2 后續(xù)研究工作
參考文獻(xiàn)
致謝
攻讀碩士學(xué)位期間已發(fā)表或錄用的論文
攻讀碩士學(xué)位期間專利的申請
【參考文獻(xiàn)】:
期刊論文
[1]一種基于Python符號執(zhí)行的自動化網(wǎng)絡(luò)攻擊流量獲取方法[J]. 陳家浩,王軼駿,呂誠. 計(jì)算機(jī)應(yīng)用與軟件. 2019(02)
[2]基于PyExZ3的Web攻擊流量的采集和分類[J]. 呂誠,王軼駿,薛質(zhì). 通信技術(shù). 2018(12)
[3]基于Ruby符號執(zhí)行的Metasploit攻擊流量提取[J]. 劉煥偉,王軼駿,薛質(zhì). 通信技術(shù). 2018(12)
[4]新形勢下的免殺及防御技術(shù)研究[J]. 胡嘉熙,王軼駿,薛質(zhì). 通信技術(shù). 2017(12)
[5]基于符號執(zhí)行的Python攻擊腳本分析平臺[J]. 邱洋,王軼駿,薛質(zhì). 計(jì)算機(jī)工程. 2016(11)
博士論文
[1]面向復(fù)雜程序結(jié)構(gòu)的測試用例自動生成方法研究[D]. 張旭舟.北京郵電大學(xué) 2018
[2]Concolic測試關(guān)鍵技術(shù)研究[D]. 雷雪.北京郵電大學(xué) 2016
[3]基于編譯器中間語言的軟件運(yùn)行時可靠性研究[D]. 尹杰.清華大學(xué) 2015
[4]基于類型系統(tǒng)的程序驗(yàn)證方法研究[D]. 吳偉.武漢大學(xué) 2013
碩士論文
[1]基于符號化執(zhí)行的測試用例自動生成方法研究[D]. 任瑞國.西安理工大學(xué) 2018
[2]面向C語言的符號執(zhí)行引擎設(shè)計(jì)與實(shí)現(xiàn)[D]. 周寒茹.華東師范大學(xué) 2018
[3]并行分段式符號執(zhí)行的研究與實(shí)現(xiàn)[D]. 王穎.電子科技大學(xué) 2018
[4]符號執(zhí)行工具KLEE約束求解優(yōu)化設(shè)計(jì)與實(shí)現(xiàn)[D]. 康文濤.電子科技大學(xué) 2014
本文編號:3200065
本文鏈接:http://www.sikaile.net/kejilunwen/ruanjiangongchenglunwen/3200065.html
最近更新
教材專著
