基于恶意样本分析检测的沙箱技术研究.pdf

1、网络信息安全基于恶意样本分析检测的沙箱技术研究邹睿徐宁易仙福国家计算机网络应急技术处理协调中心江西分中心南昌市邹睿徐宁易仙福国家计算机网络应急技术处理协调中心江西分中心南昌市330038330038摘要摘要：以不同恶意代码静态分析以不同恶意代码静态分析、行为特征行为特征、网络通联为底层模型和实现机制网络通联为底层模型和实现机制，研究一种基于样本行为特征研究一种基于样本行为特征分析的本地杀沙箱技术平台分析的本地杀沙箱技术平台，解决传统互联网检测平台存在的保密性解决传统互联网检测平台存在的保密性、时效性时效性、准确性问题准确性问题。通过分析关键函数通过分析关键函数、网络流量等特征网络流量等特征，实

2、现样本静态检测实现样本静态检测、行为分析行为分析、网络通联等功能网络通联等功能，支撑安全研究人员对样本安全性进行研判支撑安全研究人员对样本安全性进行研判。关键词关键词：网络安全沙箱技术样本检测网络安全沙箱技术样本检测0引言百年变局和世纪疫情叠加影响下百年变局和世纪疫情叠加影响下，网络安全威胁网络安全威胁、数字不平等和地缘政治资源争夺数字不平等和地缘政治资源争夺、经济对抗等风险成倍经济对抗等风险成倍放大放大，全球网络安全遭受严重冲击全球网络安全遭受严重冲击，国际形势的不稳定国际形势的不稳定性性、不确定性更加凸显不确定性更加凸显，境外黑客组织逐步从境外黑客组织逐步从“广撒网广撒网”转向定向攻击转向

3、定向攻击，表现出更强的针对性表现出更强的针对性，政务政务、能源能源、金金融融、卫健等重要行业卫健等重要行业/领域信息化资产已逐步成为主要攻领域信息化资产已逐步成为主要攻击目标击目标。同时同时，攻击技术呈现快速升级趋势攻击技术呈现快速升级趋势，自动化自动化、集成化集成化、模块化模块化、组织化的特点越发明显组织化的特点越发明显。在对恶意样在对恶意样本行为特征充分研究分析基础上本行为特征充分研究分析基础上，提出一种本地沙箱设提出一种本地沙箱设计思路计思路，旨在满足恶意样本识别确定性旨在满足恶意样本识别确定性、文件检测保密文件检测保密性性、行为特征完整性行为特征完整性、分析时间高效性分析时间高效性。1

4、沙箱原理浅析恶意程序检测通常采用样本特征比对方式恶意程序检测通常采用样本特征比对方式，针对特针对特征相对复杂混淆的恶意程序征相对复杂混淆的恶意程序，样本库成为恶意程序识别样本库成为恶意程序识别的关键的关键。但是目前单一杀毒软件所使用的样本库但是目前单一杀毒软件所使用的样本库，无法无法涵盖所有病毒特征涵盖所有病毒特征，需要多个杀毒软件共同作用需要多个杀毒软件共同作用，才能才能正确研判样本的安全性正确研判样本的安全性，同时互联网病毒查杀平台无法同时互联网病毒查杀平台无法保证被检测文件或样本的保密性保证被检测文件或样本的保密性，为了解决样本检测存为了解决样本检测存在的准确性在的准确性、高效性高效性、

5、保密性问题保密性问题，目前主流的方式是目前主流的方式是通过搭建本地沙箱通过搭建本地沙箱，通过在虚拟环境中运行样本程序通过在虚拟环境中运行样本程序，对比运行前后的行为特征对比运行前后的行为特征、网络通联以及样本静态分析网络通联以及样本静态分析三种方式三种方式，判断被检测文件或样本的安全性以及危害判断被检测文件或样本的安全性以及危害程度程度。1.1样本行为特征正常程序运行时正常程序运行时，首先加载调用程序所需的依赖库首先加载调用程序所需的依赖库，根据其功能创建文件或子进程根据其功能创建文件或子进程，并根据程序既定权限并根据程序既定权限，引导用户赋予程序部分系统权限引导用户赋予程序部分系统权限，如修

6、改注册表如修改注册表、增加增加服务等服务等；恶意程序运行时恶意程序运行时，往往会绕过用户引导部分往往会绕过用户引导部分，通过创建隐藏文件通过创建隐藏文件、劫持正常进程劫持正常进程、添加计划任务等方添加计划任务等方式式，进行权限维持进行权限维持，达到感染用户主机的目的达到感染用户主机的目的。比如比如：蠕虫病毒利用系统漏洞或者钓鱼攻击成功植入目标主机蠕虫病毒利用系统漏洞或者钓鱼攻击成功植入目标主机，在系统文件夹在系统文件夹（/Windows/System/Windows/System3232/）中创建伪装文件中创建伪装文件混淆用户混淆用户，并通过修改注册表设置开机自启并通过修改注册表设置开机自启，

7、稳固系统稳固系统权限权限；蠕虫病毒入侵成功后蠕虫病毒入侵成功后，将此终端作为宿主将此终端作为宿主，进而进而扫描并感染其他终端扫描并感染其他终端，达到自我扩散达到自我扩散、自我复制的目的自我复制的目的。1.2网络通联行为通常情况下通常情况下，木马病毒的结构主要分为客户端和服木马病毒的结构主要分为客户端和服务端务端，客户端程序即木马病毒本身客户端程序即木马病毒本身，通过隐藏运行的方通过隐藏运行的方式式，控制目标主机控制目标主机；服务端作为攻击者的控制台服务端作为攻击者的控制台，负责负责远程遥控客户端远程遥控客户端，执行所需的代码命令执行所需的代码命令。木马病毒的网木马病毒的网络行为主要包括端口复用

8、混淆络行为主要包括端口复用混淆、本地监听开放端口本地监听开放端口、端端口反向连接口反向连接、执行代码接收执行代码接收，执行结果回传等执行结果回传等。以常见以常见的的CobaltCobaltStrikeStrike木马为例木马为例，在服务端创建木马程序时在服务端创建木马程序时，须明确服务端地址和监听端口两个必要参数须明确服务端地址和监听端口两个必要参数，在目标用在目标用户运行该木马病毒后户运行该木马病毒后，会与服务端地址的监听端口进行会与服务端地址的监听端口进行通联通联，形成网络通道形成网络通道，攻击者利用这条通道攻击者利用这条通道，向目标主向目标主机发送恶意报文机发送恶意报文（PayloadP

9、ayload）执行命令执行命令，控制目标主机控制目标主机。1.3样本静态分析样本的静态分析是通过反病毒引擎扫描样本的静态分析是通过反病毒引擎扫描、计算计算HashHash值值、查找字符串查找字符串、解析宏等方式对样本的程序指令和结解析宏等方式对样本的程序指令和结1009-0940-2023（2）-45-474545JIANGXITONGXINKEJI2023第2期江西通信科技构进行分析构进行分析，初步确定样本特征初步确定样本特征。一般样本静态分析的一般样本静态分析的流程为流程为：首先需要通过首先需要通过Detect It EasyDetect It Easy（DiEDiE）、）、PEIDPEI

10、D等查等查壳工具识别文件加壳类型壳工具识别文件加壳类型，再选择对应的脱壳工具进行再选择对应的脱壳工具进行脱壳处理脱壳处理；脱壳完成后脱壳完成后，使用使用ollydbgollydbg、IDAIDA等分析工具等分析工具对样本调用的依赖库对样本调用的依赖库、使用的关键函数静态分析使用的关键函数静态分析。2沙箱设计样本的静态分析和行为分析是识别其是否为恶意程样本的静态分析和行为分析是识别其是否为恶意程序的关键因素序的关键因素，设计本地化样本分析沙箱可以有效地支设计本地化样本分析沙箱可以有效地支撑安全研究人员对恶意程序开展行为特征分析撑安全研究人员对恶意程序开展行为特征分析，评估程评估程序危害性序危害性

11、，有助于减轻恶意程序带来的风险隐患有助于减轻恶意程序带来的风险隐患。2.1设计思路以本地文件沙箱为基础以本地文件沙箱为基础，制造一个虚拟环境运行样制造一个虚拟环境运行样本文件本文件，采用前后快照对比的方式采用前后快照对比的方式，分析样本运行后文分析样本运行后文件增删件增删、注册表修改注册表修改、服务创建服务创建、网络通联等行为操作网络通联等行为操作是否存在风险是否存在风险。同时结合静态分析工具同时结合静态分析工具，自动识别文件自动识别文件加壳状态加壳状态、解析解析EXEEXE等可执行程序反编译后的字符串文等可执行程序反编译后的字符串文件件，确定文件的危害程度确定文件的危害程度。详细流程图见图详

12、细流程图见图1 1。图图1 1样本分析流程图样本分析流程图系统采用系统采用B/SB/S架构架构，分为服务端分为服务端、数据库数据库、客户端客户端三个部分三个部分。服务端搭载系统底层系统服务端搭载系统底层系统，主要实现样本静主要实现样本静态检测态检测、行为内存分析行为内存分析、网络通联探测网络通联探测、报告生成等功报告生成等功能能，同时预留系统接口同时预留系统接口，方便后续更新调用其他病毒检方便后续更新调用其他病毒检测引擎模块测引擎模块；数据库端为自建病毒样本库数据库端为自建病毒样本库；客户端为前客户端为前端系统展示端系统展示，用于显示任务概况用于显示任务概况、检测结构检测结构、上传应用上传应用

13、等服务等服务。2.2功能设计2 2.2 2.1 1样本行为特征对比样本行为特征对比恶意程序执行后会通过调用系统函数来执行如创建恶意程序执行后会通过调用系统函数来执行如创建文件文件、劫持进程劫持进程、修改注册表修改注册表、加载依赖库等关键操作加载依赖库等关键操作，以达到操控以达到操控、感染目标终端的目的感染目标终端的目的。在本地沙箱设计时在本地沙箱设计时，可以通过监测系统部分关键函数的方式分析样本的行为可以通过监测系统部分关键函数的方式分析样本的行为特征特征，用于判断样本是否存在危险操作用于判断样本是否存在危险操作。在沙箱系统检在沙箱系统检测完成后测完成后，会对样本的文件操作会对样本的文件操作、

14、注册表修改注册表修改、进程树进程树关联三个高危关键点进行分析关联三个高危关键点进行分析，如图如图2 2、图图3 3、图图4 4所示所示：图图2 2进程树关联进程树关联2 2.2 2.2 2网络通联监测网络通联监测在对恶意程序分析基础上在对恶意程序分析基础上，对其主要网络通联行为对其主要网络通联行为进行监测进行监测。当网络通道创建完成后当网络通道创建完成后，攻击者会发送或接攻击者会发送或接收恶意报文信息收恶意报文信息，主要包括目标终端系统信息主要包括目标终端系统信息、心跳包心跳包、攻击指令攻击指令、文件信息等文件信息等。这些报文均存在固定的特征信这些报文均存在固定的特征信息息，但大部分远控木马会

15、通过加密流量或随机特征的方但大部分远控木马会通过加密流量或随机特征的方式式，绕过监测设备绕过监测设备。在沙箱中接入流量嗅探功能在沙箱中接入流量嗅探功能，对比样本程序执行前对比样本程序执行前后的流量数据后的流量数据，分析分析listenlisten、setsockoptsetsockopt、connectconnect、sendsend等网络通联函数调用等网络通联函数调用，达到网络通联监测分析的目的达到网络通联监测分析的目的。2 2.2 2.3 3样本静态分析样本静态分析由于不同样本在运行时会调用一些特定的由于不同样本在运行时会调用一些特定的APIAPI函数函数，在沙箱中集成包括文件特征检测在沙

16、箱中集成包括文件特征检测、字符特征检测字符特征检测、加壳加壳/混淆判断混淆判断、运行依赖库检测等功能运行依赖库检测等功能，用于识别样本运行用于识别样本运行时需要调用的时需要调用的APIAPI行为链行为链，作为样本的基础信息作为样本的基础信息，详细详细功能如下功能如下：（1 1）病毒库检测病毒库检测VirusTotalVirusTotal检测检测，查看样本病毒检测结果查看样本病毒检测结果；（2 2）字符特征检测字符特征检测Strings/pestdioStrings/pestdio工具打印字符串工具打印字符串，根据一些特征字根据一些特征字4646网络信息安全符串进行分析研判符串进行分析研判，如如

17、IPIP地址地址、敏感词句敏感词句、APIAPI符号等符号等；（3 3）加壳加壳/混淆判断混淆判断 PEID/DIEPEID/DIE工具查看文件是否加壳工具查看文件是否加壳；StringsStrings 判断判断，如果字符串数量稀少如果字符串数量稀少、存在存在LoadLibrayLoadLibray少量少量APIAPI符号符号，可以对其留意可以对其留意。图图5 5样本基本信息识别样本基本信息识别（4 4）依赖库检测依赖库检测恶意样本通常采用恶意样本通常采用LoadLibrayLoadLibray来调用依赖库来调用依赖库。图图6 6样本依赖库识别样本依赖库识别3结束语基于恶意程序分析是当前信息安

18、全领域的重要研究基于恶意程序分析是当前信息安全领域的重要研究方向之一方向之一，通过搭建样本行为分析的沙箱平台通过搭建样本行为分析的沙箱平台，采用多采用多元化检测引擎的接入元化检测引擎的接入，结合动结合动、静态分析研判静态分析研判，降低文降低文件误报率件误报率；由于采用本地部署的方式由于采用本地部署的方式，满足待测文件的满足待测文件的保密性的要求保密性的要求；利用利用APIAPI接口调用检测方法接口调用检测方法，减少代码减少代码的编写量和资源的占用率的编写量和资源的占用率，提高整体的检测效率提高整体的检测效率，帮助帮助广大的安全研究人员更好地进行恶意代码分析广大的安全研究人员更好地进行恶意代码分

19、析，为互联为互联网安全保驾护航网安全保驾护航。参考文献 1 1 王小群王小群.20202020年我国互联网网络安全态势综述年我国互联网网络安全态势综述 J J.保密科学技术保密科学技术,20212021,（0505）:5 5-1212.2 2 童瀛童瀛.基于沙箱技术的恶意代码行为检测方法基于沙箱技术的恶意代码行为检测方法 J/OLJ/OL.西安邮电大学学报西安邮电大学学报.20182018,2323（0505）3 3 毛蔚轩毛蔚轩.一种基于主动学习的恶意代码检测方一种基于主动学习的恶意代码检测方法法 J/OLJ/OL.软件学报软件学报，20172017,2828（2 2）:384384-397397 20172017-1212-9 9.4 4 刘金鑫刘金鑫.基于动态分析与深度学习的恶意程序基于动态分析与深度学习的恶意程序检测方法检测方法 J J.电子技术与软件工程电子技术与软件工程.20212021（0404）5 5 中共中央中共中央 国务院印发国务院印发 数字中国建设整体布局数字中国建设整体布局规划规划.httphttp:/ tent_tent_57434845743484.htmhtm图图3 3注册表修改注册表修改图图4 4文件操作文件操作4747