基于行為監(jiān)測(cè)的Anti-R/Bootkit的研究與實(shí)現(xiàn)報(bào)告人:李月鋒導(dǎo)師：周學(xué)海專(zhuān)業(yè)：計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)2009-5-251主要內(nèi)容概述與設(shè)計(jì)需求惡意程序(代碼)、Rootkit、Bootkit惡意代碼掃描檢測(cè)技術(shù)的原理與不足主動(dòng)防御的不足以及基于行為監(jiān)測(cè)的Anti-R/Bootkit的提出行為特征剖析和基于行為特征的形式化描述語(yǔ)言行為特征剖析形式化描述語(yǔ)言方案設(shè)計(jì)與評(píng)估總結(jié)與展望2嵌入式系統(tǒng)實(shí)驗(yàn)室概述與設(shè)計(jì)需求惡意程序/代碼惡意軟件(Maleware)是非用戶(hù)期望運(yùn)行的、懷有惡意目的或完成惡意功能的完整的程序集合。惡意代碼(MaliciousCode)是指用于描述完成特定惡意功能的代碼片段。Rootkit

作為當(dāng)前新型的惡意軟件的代表的Rootkit，用于實(shí)現(xiàn)自身及系統(tǒng)中特定資源和活動(dòng)的隱藏，破壞可信任計(jì)算機(jī)的完整性。BootkitBootkit通過(guò)感染可引導(dǎo)的外設(shè)固件和關(guān)鍵系統(tǒng)文件，駐留在整個(gè)系統(tǒng)的啟動(dòng)過(guò)程。3嵌入式系統(tǒng)實(shí)驗(yàn)室惡意代碼掃描檢測(cè)技術(shù)的原理與不足原理后置式感染-檢測(cè)-清除問(wèn)題掃描檢測(cè)類(lèi)防護(hù)系統(tǒng)工作時(shí)往往已經(jīng)由于惡意軟件的成功感染失去了本身以及系統(tǒng)程序的可信任的執(zhí)行環(huán)境失去了原本的處于Ring0高特權(quán)級(jí)別的掃描檢測(cè)優(yōu)勢(shì)缺點(diǎn)1.掃描檢測(cè)的有效性往往無(wú)法保證；而且即便發(fā)現(xiàn)了惡意軟件的存在，卻由于感染破壞的不可恢復(fù)性失去了掃描檢測(cè)的實(shí)際意義。2.給內(nèi)存、CPU等公共的可利用系統(tǒng)資源造成了較高的掃描檢測(cè)開(kāi)銷(xiāo)。4嵌入式系統(tǒng)實(shí)驗(yàn)室惡意代碼掃描檢測(cè)技術(shù)的原理與不足掃描技術(shù)原理：特征碼匹配不足：維護(hù)龐大的特征碼搜索網(wǎng)無(wú)法掃描變形、加殼、多態(tài)等惡意代碼檢測(cè)技術(shù) 基于特征碼的內(nèi)核內(nèi)存掃描啟發(fā)式掃描原理：異常行為加權(quán)不足：對(duì)系統(tǒng)性能影響較大基于內(nèi)存完整性校驗(yàn)原理：對(duì)比系統(tǒng)磁盤(pán)文件來(lái)發(fā)現(xiàn)隱藏痕跡不足：依賴(lài)磁盤(pán)文件的可信任性基于交叉視圖的檢測(cè) 原理：不同檢測(cè)路徑交叉對(duì)比不足：依賴(lài)各個(gè)檢測(cè)路徑的可信任性5嵌入式系統(tǒng)實(shí)驗(yàn)室主動(dòng)防御的不足以及行為特征監(jiān)測(cè)的必要主動(dòng)防御優(yōu)點(diǎn)前置式原理鉤掛某些關(guān)鍵的系統(tǒng)調(diào)用的執(zhí)行路徑以及直接對(duì)內(nèi)核對(duì)象監(jiān)控。為每個(gè)可疑的、關(guān)鍵的系統(tǒng)調(diào)用和直接內(nèi)核對(duì)象操作根據(jù)其潛在的安全威脅給出對(duì)應(yīng)的處理規(guī)則—也就是安全威脅列表。不足單一的特定系統(tǒng)調(diào)用或者內(nèi)核對(duì)象的訪(fǎng)問(wèn)，往往由于缺乏其發(fā)生的上下文環(huán)境的分析以及彼此間內(nèi)在關(guān)聯(lián)關(guān)系的分析需要頻繁借助用戶(hù)的經(jīng)驗(yàn)來(lái)幫助主動(dòng)防御系統(tǒng)做出最終的裁決，因此帶來(lái)不必要的高用戶(hù)交互性。行為特征監(jiān)測(cè)行為特征彌補(bǔ)主動(dòng)防御的不足6嵌入式系統(tǒng)實(shí)驗(yàn)室主要內(nèi)容概述與設(shè)計(jì)需求行為特征剖析和基于行為特征的形式化描述語(yǔ)言行為特征剖析行為特征的約束和限制條件典型R/Bootkit行為特征分析形式化描述語(yǔ)言形式化描述語(yǔ)言定義使用形式化描述語(yǔ)言描述行為特征方案設(shè)計(jì)與評(píng)估總結(jié)與展望7嵌入式系統(tǒng)實(shí)驗(yàn)室典型R/Bootkit行為特征分析約束和限制條件：是R/Bootkit植入、感染、發(fā)作生命周期中必需的不屬于普通應(yīng)用程序的正常行為范疇8嵌入式系統(tǒng)實(shí)驗(yàn)室Rootkit行為特征分析Klog植入、感染示意圖1.非常規(guī)進(jìn)駐內(nèi)核2.注冊(cè)到鍵盤(pán)設(shè)備堆棧的頂層3.讀取頂層設(shè)備的特定域中的掃描碼4.寫(xiě)入到特定的磁盤(pán)文件9嵌入式系統(tǒng)實(shí)驗(yàn)室形式化描述語(yǔ)言定義語(yǔ)義計(jì)算機(jī)系統(tǒng)的行為從本質(zhì)上來(lái)說(shuō)定義了一系列空間、時(shí)間資源狀態(tài)以及針對(duì)資源的操作行為。用二元式的形式描述系統(tǒng)運(yùn)行行為如下： B=(S,P)其中S是時(shí)間/空間資源狀態(tài)的集合，P是資源狀態(tài)遷移操作的集合。 P={p|p=s1->s2,s1,s2是S集合的元素}而惡意代碼的行為M是B的子集。程序行為可以從<主體>(Body)，<動(dòng)作>(Action)，<空間資源>(Spaceresources)，<時(shí)間狀語(yǔ)>(TimeRelatedClause)四個(gè)安全屬性加以刻畫(huà)。10嵌入式系統(tǒng)實(shí)驗(yàn)室形式化描述語(yǔ)言定義語(yǔ)法<范式規(guī)則>->if(<檢測(cè)類(lèi)范式規(guī)則>){<控制類(lèi)范式規(guī)則>};<檢測(cè)類(lèi)范式規(guī)則>-><子行為><控制類(lèi)范式規(guī)則>-><子行為>

<子行為>-><主體><動(dòng)作><空間資源><時(shí)間狀語(yǔ)>and<子行為><子行為>-><主體><動(dòng)作><空間資源><時(shí)間狀語(yǔ)>or<子行為><空間資源>-><地址類(lèi)空間資源>|<內(nèi)容類(lèi)空間資源>|<空><時(shí)間狀語(yǔ)>-><發(fā)生次數(shù)>per<時(shí)間段>11嵌入式系統(tǒng)實(shí)驗(yàn)室形式化描述語(yǔ)言定義基本元素類(lèi)型數(shù)據(jù)類(lèi)型主體空間資源時(shí)間狀語(yǔ)操作類(lèi)型RefXXas參數(shù)[YY]。。?？刂祁?lèi)型DenyAllow關(guān)系類(lèi)型Andor12嵌入式系統(tǒng)實(shí)驗(yàn)室使用語(yǔ)言描述行為特征行為特征status=ZwOpenSection(&hSection， SECTION_MAP_READ| SECTION_MAP_WRITE， &objectAttributes);BaseAddress=MapViewOfFile(hSection，

FILE_MAP_READ|FILE_MAP_WRITE，

0，

mapAddr，

(gdt.Limit+1));形式化描述語(yǔ)言SetSysInfo=(*OpenSectionRefpTempHandleas參數(shù)[0])and(*MapViewOfSectionRef(*pTempHandle)as參數(shù)[0]);13嵌入式系統(tǒng)實(shí)驗(yàn)室使用語(yǔ)言描述行為特征語(yǔ)法層次圖組合關(guān)系時(shí)序關(guān)系14嵌入式系統(tǒng)實(shí)驗(yàn)室語(yǔ)言示例//數(shù)據(jù)類(lèi)變量實(shí)例化Handle*TempHandle;路徑csDriverPath;csDriverPath=”*.sys”;//操作類(lèi)變量實(shí)例化檢測(cè)類(lèi)范式規(guī)則DetectSysAll，AbnormalEnter，Bootkit;控制類(lèi)檢測(cè)類(lèi)范式規(guī)則Ctl=Deney;動(dòng)作LoadDrv，OpenPhysSec，SetDbgCtl，SetSysInfo;SSDT主體ssLdrv=*LoadDriver;//DetectSysAll=LoadDrv|OpenPhysSec|SetDbgCtl|SetSysInfo|;SetSysInfo=(*OpenSectionRefTempHandleas參數(shù)[0])and(*MapViewOfSectionRef(*TempHandle)as參數(shù)[0]);if(DetectAll){Deny;}15嵌入式系統(tǒng)實(shí)驗(yàn)室主要內(nèi)容概述與設(shè)計(jì)需求行為特征剖析和基于行為特征的形式化描述語(yǔ)言方案設(shè)計(jì)與評(píng)估總結(jié)與展望16嵌入式系統(tǒng)實(shí)驗(yàn)室方案設(shè)計(jì)與評(píng)估整體框架基于行為監(jiān)測(cè)的Anti-R/Bootkit原型系統(tǒng):BD關(guān)鍵模塊行為語(yǔ)義分析評(píng)估已知R/Bootkit非R/Bootkit未知R/Bootkit17嵌入式系統(tǒng)實(shí)驗(yàn)室整體框架18嵌入式系統(tǒng)實(shí)驗(yàn)室行為語(yǔ)義解析19嵌入式系統(tǒng)實(shí)驗(yàn)室評(píng)估已知R/Bootkit漏報(bào)率虛報(bào)率非R/Bootkit虛報(bào)率未知R/Bootkit漏報(bào)率虛報(bào)率20嵌入式系統(tǒng)實(shí)驗(yàn)室已知R/Bootkit評(píng)估漏報(bào)率低(左邊綠色圖為BD)%0%33%66%100BDAvast360卡巴狙劍%0%50%66%33%021嵌入式系統(tǒng)實(shí)驗(yàn)室已知R/Bootkit評(píng)估虛報(bào)率低(左邊綠色圖為BD)%0%33%66%100BDAvast360卡巴狙劍%0%22%17%45%3622嵌入式系統(tǒng)實(shí)驗(yàn)室非R/Bootkit評(píng)估虛報(bào)率較低(左邊綠色圖為BD)%0%33%66%100BDAvast360卡巴狙劍%33%0%68%0%8023嵌入式系統(tǒng)實(shí)驗(yàn)室未知R/Bootkit評(píng)估漏報(bào)率低(左邊綠色圖為BD)%0%33%66%100BDAvast360卡巴狙劍%0%80%80%60%024嵌入式系統(tǒng)實(shí)驗(yàn)室未知R/Bootkit評(píng)估虛報(bào)率低(左邊綠色圖為BD)%0%33%66%100BDAvast360卡巴狙劍%0%0%0%0%3325嵌入式系統(tǒng)實(shí)驗(yàn)室總結(jié)與展望總結(jié)總結(jié)出Bootkti/Rootkit惡意進(jìn)駐內(nèi)核行為特征提出了形式化描述語(yǔ)言規(guī)范設(shè)計(jì)與實(shí)現(xiàn)了基于惡意進(jìn)駐內(nèi)核行為特征的Anti-R/Bootkit原型系統(tǒng)展望完善形式化描述語(yǔ)言的詞法分析、語(yǔ)法分析和語(yǔ)義定義部分拓展底層布控模塊的布控深度和廣度、加入自我保護(hù)功能等26嵌入式系統(tǒng)實(shí)驗(yàn)室在讀期間發(fā)表的學(xué)術(shù)論文與取得的研究成果參與的項(xiàng)目：2006.6~2007.1基于公網(wǎng)的P2P視頻點(diǎn)播系統(tǒng)，負(fù)責(zé)架構(gòu)設(shè)計(jì)。2007.9~2008.6紅色5號(hào)信息安全產(chǎn)品，負(fù)責(zé)后續(xù)研發(fā)。2008.6~2009.6操