内存取证与IaaS云平台恶意行为的安全监控.pdf

内存取证与IaaS云平台恶意行 为的安全监控 王连海 研究员 山东省计算中心（国家超级计算济南中心） 汇报纲要 内存取证中的恶意代码分析技术 基于内存取证的云中恶意行为监控技术 使用内存分析技术检测虚拟机逃逸 总结 内存取证中的恶意代码分析技术 内存取证是计算机取证科学的重要分支，是指从计 算机物理内存和页面交换文件中查找、提取、分析 易失性证据，当系统处于活动状态时,物理内存中保 存着关于系统运行时状态的关键信息，通过内存取 证可获取物理内存和页面交换文件的完整镜像， 并 重构出原先系统的状态信息。 当前内存取证技术逐渐成熟，内存证据已经与 硬盘证据一起成为打击网络违法犯罪的重要依 据。 内存证据分析可被用于发现系统的各种关键信 息及用户的行为特征。 内存取证技术也可被用于恶意代码的检测分析 内存取证中的恶意代码分析技术 各种新型解决方案 内存取证中的恶意代码分析技术 恶 检测 网络 检查 难以发现未知 恶意程序 难以应对流量 加密的情形 检查不连续、无法 检查内存、极大影 响计算机性能 难以自动化、无法 应对静态数据、可 被恶意程序检测 针对于APT恶意程序，现有检测方法存在一些问题： 内存取证中的恶意代码分析技术 内存取证的应用场景 APT、木马检测 互联网 受攻击电脑 内存镜 像文件 恶 意 代 码 分 析 结果 优势 软件或硬件方式镜像内存，防 具有反取证功能的木马自毁 内存取证中的恶 意代码分析技术 动态链 库 进 /驱动/ 动态连 库 签 APIHook 动态链接库 隐藏检测 进 内存取证中传统的恶意代码分析技术 APIHook进 程分析 APIHook分析 APIHook驱 动分析 内存取证中的恶意代码分析技术 APIHook进 导 hook 导 hook 内联 数hook 统调 hook 内存取证中的恶意代码分析技术 APIHook进程分析 首先获取进程调用的所 有动态连接库的链表，把 动态连接库pe样本转储出 来。 （1）导入地址表hook分析 内存取证中的恶意代码分析技术 APIHook进程分析 （2）导出地址表hook分析 内存取证中的恶意代码分析技术 APIHook进程分析 （3）内联函数hook分析 内存取证中的恶意代码分析技术 APIHook进程分析 （4）系统调用hook分析 APIHook驱动分析：其原 理类似于（1）（2）（3） 内存取证中的恶意代码分析技术 进程/驱动/动态链 接库签名分析 内存取证中的恶意代码分析技术 隐藏进程分析 内存取证中的恶意代码分析技术 动态链接库注入分析 内存取证中的恶意代码分析技术 动态链接库隐藏检测 内存取证中的恶意代码分析技术 规 APT恶 码检测 DLL 载异 检测 DLL隐 检测 DLL 径异 检测 Http/Https会 话跟 检测 我们提出的方法 网络链 异 检测 ShellCode 检测 DLL加载异常检测 APT攻击中的恶意程序，大多加密其关键的功能和 通信。此时加密的DLL头将不会出现在任何内存页 的起始位置，因此可以通过有哪些信誉好的足球投注网站内存空间中DLL加 载是否正常来判定是否有恶意程序。 内存取证中的恶意代码分析技术 DLL隐藏检测 APT恶意代码为了保护自己不被杀毒软件检测到， 通常会隐藏DLL。可以通过计算程序私有内存空间 中的DLL数量与进程空间中所有进程的DLL数量是 否相等，来判断是否有APT恶意代码。 内存取证中的恶意代码分析技术 DLL路径异常检测 大多数的DLL位于system32，如果内存中一个DLL 的路径中包含特殊字符，如“/users/*/appdata/ local”或“system volume information/_resto re”，那么它极有可能是一个恶意程序。 内存取证中的恶意代码分析技术 Http/Https会话跟踪检测 APT恶意程序通常是伪装成正常的程序，通过Htt ps或Http协议与外部交流，以便逃避入侵检测系 统和防火墙的检测。这时通信中一般会含有“HTT P/1.1 200”或“HTTP/1.0 200”这样的特殊字符， 可以将这些作为检测恶意程序的标准，分析通信 内容，若包含这些特殊字符，则极有可能是恶意 程序。 内存取证中的恶意代码分析技术 网络连接异常检测 APT恶意程序通常隐藏其网络连接行为，通过对T cpEndpointPool结构进行分析，获取网络连接信 息。 内存取证中的恶意代码分析技术 网络连接异常检测步骤 内存取证中的恶意代码分析技术 ShellCode检测 ? 绝大多数APT恶意代码都会利用ShellCode作为 载体来进行攻击，对恶意代码的检测可以依赖 于对ShellCode的检测。 ? 检测特征： ? GetPC Code(call, jump, fnstenv) ? Get