基于行为监测的Anti-RBootkit的研究与实现

1、1基于行为监测的基于行为监测的Anti-R/Bootkit的研究与实现的研究与实现报告人报告人: 李月锋李月锋导师：周学海导师：周学海专业：计算机系统结构专业：计算机系统结构2009-5-25嵌入式系统实验室嵌入式系统实验室2/28主要内容主要内容v 概述与设计需求概述与设计需求 恶意程序恶意程序(代码代码)、Rootkit、Bootkit 恶意代码扫描检测技术的原理与不足恶意代码扫描检测技术的原理与不足 主动防御的不足以及基于行为监测的主动防御的不足以及基于行为监测的Anti-R/Bootkit的提出的提出v 行为特征剖析和基于行为特征的形式化描述语言行为特征剖析和基于行为特征的形式化描述语

2、言 行为特征剖析行为特征剖析 形式化描述语言形式化描述语言v 方案设计与评估方案设计与评估v 总结与展望总结与展望嵌入式系统实验室嵌入式系统实验室3/28概述与设计需求概述与设计需求v恶意程序恶意程序/代码代码 恶意软件恶意软件(Maleware)是非用户期望运行的、怀有恶意是非用户期望运行的、怀有恶意目的或完成恶意功能的完整的程序集合。目的或完成恶意功能的完整的程序集合。恶意代码恶意代码(Malicious Code) 是指用于描述完成特定恶是指用于描述完成特定恶意功能的代码片段。意功能的代码片段。 vRootkit 作为当前新型的恶意软件的代表的作为当前新型的恶意软件的代表的Rootkit

3、，用于实，用于实现自身及系统中特定资源和活动的隐藏，破坏可信任现自身及系统中特定资源和活动的隐藏，破坏可信任计算机的完整性计算机的完整性 。vBootkitBootkit通过感染可引导的外设固件和关键系统文件，通过感染可引导的外设固件和关键系统文件，驻留在整个系统的启动过程。驻留在整个系统的启动过程。 嵌入式系统实验室嵌入式系统实验室4/28恶意代码扫描检测技术的原理与不足恶意代码扫描检测技术的原理与不足v 原理原理 后置式后置式 感染感染-检测检测-清除清除v 问题问题 扫描检测类防护系统工作时往往已经由于恶意软件的成功感染扫描检测类防护系统工作时往往已经由于恶意软件的成功感染失去了本身以及

4、系统程序的可信任的执行环境失去了本身以及系统程序的可信任的执行环境 失去了原本的处于失去了原本的处于Ring0高特权级别的扫描检测优势高特权级别的扫描检测优势v 缺点缺点 1.扫描检测的有效性往往无法保证；而且即便发现了恶意软件扫描检测的有效性往往无法保证；而且即便发现了恶意软件的存在，却由于感染破坏的不可恢复性失去了扫描检测的实际的存在，却由于感染破坏的不可恢复性失去了扫描检测的实际意义。意义。 2.给内存、给内存、CPU等公共的可利用系统资源造成了较高的扫描检等公共的可利用系统资源造成了较高的扫描检测开销。测开销。嵌入式系统实验室嵌入式系统实验室5/28恶意代码扫描检测技术的原理与不足恶意

5、代码扫描检测技术的原理与不足v 扫描技术扫描技术 原理：特征码匹配原理：特征码匹配 不足：不足：l 维护庞大的特征码搜索网维护庞大的特征码搜索网l 无法扫描变形、加壳、多态等恶意代码无法扫描变形、加壳、多态等恶意代码v 检测技术检测技术 基于特征码的内核内存扫描基于特征码的内核内存扫描 启发式扫描启发式扫描l 原理：异常行为加权原理：异常行为加权l 不足：对系统性能影响较大不足：对系统性能影响较大 基于内存完整性校验基于内存完整性校验l 原理：对比系统磁盘文件来发现隐藏痕迹原理：对比系统磁盘文件来发现隐藏痕迹l 不足：依赖磁盘文件的可信任性不足：依赖磁盘文件的可信任性 基于交叉视图的检测基于交

6、叉视图的检测l 原理：不同检测路径交叉对比原理：不同检测路径交叉对比l 不足：依赖各个检测路径的可信任性不足：依赖各个检测路径的可信任性嵌入式系统实验室嵌入式系统实验室6/28主动防御的不足以及行为特征监测的必要主动防御的不足以及行为特征监测的必要v主动防御主动防御优点优点l前置式前置式原理原理l钩挂某些关键的系统调用的执行路径以及直接对内核对象监控。钩挂某些关键的系统调用的执行路径以及直接对内核对象监控。l为每个可疑的、关键的系统调用和直接内核对象操作根据其潜在为每个可疑的、关键的系统调用和直接内核对象操作根据其潜在的安全威胁给出对应的处理规则的安全威胁给出对应的处理规则也就是安全威胁列表。

7、也就是安全威胁列表。不足不足l单一的特定系统调用或者内核对象的访问，往往由于缺乏其发生单一的特定系统调用或者内核对象的访问，往往由于缺乏其发生的上下文环境的分析以及彼此间内在关联关系的分析的上下文环境的分析以及彼此间内在关联关系的分析l需要频繁借助用户的经验来帮助主动防御系统做出最终的裁决，需要频繁借助用户的经验来帮助主动防御系统做出最终的裁决，因此带来不必要的高用户交互性。因此带来不必要的高用户交互性。v行为特征监测行为特征监测行为特征行为特征弥补主动防御的不足弥补主动防御的不足嵌入式系统实验室嵌入式系统实验室7/28主要内容主要内容v 概述与设计需求概述与设计需求v 行为特征剖析和基于行为

8、特征的形式化描述语言行为特征剖析和基于行为特征的形式化描述语言 行为特征剖析行为特征剖析l 行为特征的约束和限制条件行为特征的约束和限制条件l 典型典型R/Bootkit行为特征分析行为特征分析 形式化描述语言形式化描述语言l 形式化描述语言定义形式化描述语言定义l 使用形式化描述语言描述行为特征使用形式化描述语言描述行为特征v 方案设计与评估方案设计与评估v 总结与展望总结与展望嵌入式系统实验室嵌入式系统实验室8/28典型典型R/Bootkit行为特征分析行为特征分析v约束和限制条件：约束和限制条件：是是R/Bootkit植入、感染、发作生命周期中必需的植入、感染、发作生命周期中必需的不属于

9、普通应用程序的正常行为范畴不属于普通应用程序的正常行为范畴 嵌入式系统实验室嵌入式系统实验室9/28Rootkit行为特征分析行为特征分析Klog植入、感染示意图植入、感染示意图1.非常规进驻内核2.注册到键盘设备堆栈的顶层3.读取顶层设备的特定域中的扫描码4.写入到特定的磁盘文件嵌入式系统实验室嵌入式系统实验室10/28形式化描述语言定义形式化描述语言定义v语义语义计算机系统的行为从本质上来说定义了一系列空间、计算机系统的行为从本质上来说定义了一系列空间、时间资源状态以及针对资源的操作行为。用二元式的时间资源状态以及针对资源的操作行为。用二元式的形式描述系统运行形式描述系统运行 行为如下：行

10、为如下：B=(S,P) 其中其中S是时间是时间/空间资源状态的集合，空间资源状态的集合，P是资源状态迁是资源状态迁移操作的集合。移操作的集合。P=p|p=s1-s2,s1,s2是是S集合的元素集合的元素 而恶意代码的行为而恶意代码的行为M是是B的子集。的子集。程序行为可以从程序行为可以从(Body)，(Action)，(Space resources)，(Time Related Clause)四个安全属性加以刻画四个安全属性加以刻画 。嵌入式系统实验室嵌入式系统实验室11/28形式化描述语言定义形式化描述语言定义v 语法语法 - if() ; - - - and - or - | - per

11、 嵌入式系统实验室嵌入式系统实验室12/28形式化描述语言定义形式化描述语言定义v 基本元素类型基本元素类型 数据类型数据类型l 主体主体l 空间资源空间资源l 时间状语时间状语 操作类型操作类型l Ref XX as 参数参数YYl 。 控制类型控制类型l Denyl Allow 关系类型关系类型l Andl or嵌入式系统实验室嵌入式系统实验室13/28使用语言描述行为特征使用语言描述行为特征v 行为特征行为特征status = ZwOpenSection(&hSection，SECTION_MAP_READ|SECTION_MAP_WRITE，&objectAttribu

12、tes);BaseAddress=MapViewOfFile(hSection， FILE_MAP_READ|FILE_MAP_WRITE， 0， mapAddr， (gdt.Limit+1);v 形式化描述语言形式化描述语言SetSysInfo=(*OpenSection Ref pTempHandle as 参数参数0 )and (*MapViewOfSection Ref (*pTempHandle) as 参数参数0 ) ;嵌入式系统实验室嵌入式系统实验室14/28使用语言描述行为特征使用语言描述行为特征Token规则范式规则范式监测类范式规则监测类范式规则控制类类范式规则控制类类范式

13、规则子行为子行为A1子行为子行为A2子行为子行为C子行为子行为B主体主体操作操作空间空间时间时间OpenSectionRefAs参数参数0Handle主体主体操作操作空间空间时间时间MapViewRefHandleToken函数变量函数变量语法层次图语法层次图组合关系时序关系嵌入式系统实验室嵌入式系统实验室15/28语言示例语言示例/数据类变量实例化Handle * TempHandle;路径 csDriverPath;csDriverPath=” *.sys”;/操作类变量实例化检测类范式规则 DetectSysAll，AbnormalEnter，Bootkit;控制类检测类范式规则 Ctl

14、=Deney;动作 LoadDrv，OpenPhysSec，SetDbgCtl，SetSysInfo;SSDT主体 ssLdrv=*LoadDriver;/DetectSysAll= LoadDrv | OpenPhysSec | SetDbgCtl | SetSysInfo|;SetSysInfo=(*OpenSection Ref TempHandle as 参数0 )and (*MapViewOfSection Ref (*TempHandle) as 参数0 ) ;if (DetectAll) Deny;嵌入式系统实验室嵌入式系统实验室16/28主要内容主要内容v概述与设计需求概述与设

15、计需求v行为特征剖析和基于行为特征的形式化描述语行为特征剖析和基于行为特征的形式化描述语言言v方案设计与评估方案设计与评估v总结与展望总结与展望嵌入式系统实验室嵌入式系统实验室17/28方案设计与评估方案设计与评估v整体框架整体框架基于行为监测的基于行为监测的Anti-R/Bootkit原型系统原型系统:BDv关键模块关键模块行为语义分析行为语义分析v评估评估已知已知R/Bootkit非非R/Bootkit未知未知R/Bootkit嵌入式系统实验室嵌入式系统实验室18/28整体框架整体框架优先启动模块行为截获模块Ring3Ring0行为语义解析已知、未知R/Bootkit规则编译器规则脚本探针

16、布控行为匹配库生成输入生成查阅结果结果解析触发 判断探针部署库部署嵌入式系统实验室嵌入式系统实验室19/28行为语义解析行为语义解析嵌入式系统实验室嵌入式系统实验室20/28评估评估v已知已知R/Bootkit漏报率漏报率虚报率虚报率v非非R/Bootkit虚报率虚报率v未知未知R/Bootkit漏报率漏报率虚报率虚报率嵌入式系统实验室嵌入式系统实验室21/28已知已知R/Bootkit评估评估v漏报率低漏报率低(左边绿色图为左边绿色图为BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙剑狙剑%0%50%66%33%0嵌入式系统实验室嵌入式系统实验室22/28

17、已知已知R/Bootkit评估评估v虚报率低虚报率低(左边绿色图为左边绿色图为BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙剑狙剑%0%22%17%45%36嵌入式系统实验室嵌入式系统实验室23/28非非R/Bootkit评估评估v虚报率较低虚报率较低(左边绿色图为左边绿色图为BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙剑狙剑%33%0%68%0%80嵌入式系统实验室嵌入式系统实验室24/28未知未知R/Bootkit评估评估v漏报率低漏报率低(左边绿色图为左边绿色图为BD)%0%0%33%33%66%66%100%

18、100BDAvast360卡巴卡巴狙剑狙剑%0%80%80%60%0嵌入式系统实验室嵌入式系统实验室25/28未知未知R/Bootkit评估评估v虚报率低虚报率低(左边绿色图为左边绿色图为BD)%0%0%33%33%66%66%100%100BDAvast360卡巴卡巴狙剑狙剑%0%0%0%0%33嵌入式系统实验室嵌入式系统实验室26/28总结与展望总结与展望v 总结总结 总结出总结出Bootkti/Rootkit恶意进驻内核行为特征恶意进驻内核行为特征 提出了形式化描述语言规范提出了形式化描述语言规范 设计与实现了基于恶意进驻内核行为特征的设计与实现了基于恶意进驻内核行为特征的Anti-R/Bootkit原型系统原型系统 v