- 简介现有的反恶意软件和反向工程工具包由于运行时内核级监控的限制而难以处理隐蔽的子操作系统根套件。恶意内核级驱动程序可以轻松绕过操作系统级反病毒机制。虽然可以对这种恶意软件进行静态分析,但混淆和打包技术使离线分析变得复杂。此外,当前的动态分析器受到虚拟化性能开销的影响,并创建可检测的痕迹,使现代恶意软件可以逃避它们。 为了解决这些问题,我们提出了一种新的基于虚拟化的内存内省设计,用于反向工程、重构内存偏移和指纹识别难以捉摸和混淆的用户级和内核级恶意软件,称为“反向机器”(TRM)。TRM提出了两种新技术,使得对难以捉摸的恶意软件进行高效透明的分析成为可能:使用挂起的进程创建来钩住二进制文件以进行基于虚拟化的内存内省,以及利用基于模式的执行控制(MBEC)来检测用户/内核模式转换和内存访问模式。与现有的恶意软件检测环境不同,TRM可以在用户和内核空间提取完整的内存跟踪,并钩住整个目标内存映射以重构操作系统中的数组、结构和可能的根套件。 我们使用TRM辅助进行内核级结构的反向工程,并展示它可以平均加速75%的手动反向工程。我们使用最新的打包工具混淆已知的恶意软件,并成功进行相似性检测。此外,我们通过将修改后的根套件部署到绕过最先进的安全审计工具的驱动程序上来展示一个真实的攻击。我们展示了TRM可以检测到每个威胁,并且在24个最先进的AV解决方案中,只有TRM可以检测到最先进的威胁。
- 图表
- 解决问题本文旨在解决反恶意软件软件和逆向工程工具在处理隐蔽的子操作系统根套件方面的局限性。作者提出了一种新的基于虚拟化技术的内存检查设计,名为TRM,用于逆向工程、重构内存偏移和指纹识别躲避和混淆的用户级和内核级恶意软件。
- 关键思路TRM提出了两种新技术,一种是使用挂起的进程创建来钩住二进制文件进行基于虚拟化技术的内存检查,另一种是利用基于模式的执行控制(MBEC)来检测用户/内核模式转换和内存访问模式。TRM可以提取用户和内核空间中的完整内存跟踪,并钩住整个目标内存映射以重构操作系统中的数组、结构和可能的根套件。
- 其它亮点本文展示了TRM辅助下的内核结构逆向工程,并显示它平均可以加速手动逆向工程75%。作者使用最新的打包工具混淆已知的恶意软件并成功进行了相似性检测。此外,作者展示了一种真实的攻击,部署了一个修改过的根套件到一个可以绕过最先进的安全审计工具的驱动程序上。作者展示了TRM可以检测到每个威胁,并且在24个最先进的杀毒软件中,只有TRM可以检测到最先进的威胁。
- 在这个领域中,最近的相关研究包括《Hypervisor-Based System Monitoring for Malware Detection》、《Hypervisor-Based Memory Introspection for Kernel-Level Rootkit Detection》等。
沙发等你来抢
去评论
评论
沙发等你来抢