恶意代码来源定位.pdf

恶意代码来源定位 恶意代码来源定位 Hui ZHENG Hui ZHENG Network Research Center, Tsinghua Univ. Network Research Center, Tsinghua Univ. CERNET Computer Emergency Response Team CERNET Computer Emergency Response Team zhenghui@ zhenghui@ 实例 实例 红色代码 红色代码 – 据美国国会超党派调查机构审计局(GAO，General – 据美国国会超党派调查机构审计局(GAO，General Accounting Office)称，电脑病毒代号红色(Code Red)可能 Accounting Office)称，电脑病毒代号红色(Code Red)可能 诞生于中国南部广东省一所大学。据估计，该病毒上个月所 诞生于中国南部广东省一所大学。据估计，该病毒上个月所 耗费的扫毒费用可能高达24亿美元。 耗费的扫毒费用可能高达24亿美元。 – 佛山大学否认是“红色代码” 的源头， – 佛山大学否认是“红色代码” 的源头， /special/newspapers/2001/09/day /special/newspapers/2001/09/day oo010901.html oo010901.html – “红色代号”病毒编写者来自广东佛山大学? – “红色代号”病毒编写者来自广东佛山大学? /c/2001/0806/3027.htm /c/2001/0806/3027.htm 震荡波 震荡波 – 德国，18岁少年 – 德国，18岁少年 网络相关信息分析 网络相关信息分析 作者自述 作者自述 发现（上报）时间、发现（上报）区域 发现（上报）时间、发现（上报）区域 研究人员分析 研究人员分析 文件自含信息分析 文件自含信息分析 恶意代码样本反向工程 恶意代码样本反向工程 传播链反溯 传播链反溯 中断补偿 中断补偿 多路追溯 多路追溯 目标选择流程分析 目标选择流程分析 其他版本300线程；中文版本 600线 其他版本300线程；中文版本 600线 程； 程； 日文版本无操作，其他版本下载补丁； 日文版本无操作，其他版本下载补丁； 代码比对技术 代码比对技术 行为比对 行为比对 结构相似度比对 结构相似度比对 地理信息辅助系统 地理信息辅助系统 时间分析法 时间分析法 对比被感染主机上病毒文件创建时间， 对比被感染主机上病毒文件创建时间， 较早者接近攻击源； 较早者接近攻击源； 空间分析法 空间分析法 多点检测 多点检测 单点检测 单点检测 攻击目标锁定 攻击目标锁定 Mytob Mytob /andocd/ando- /andocd/ando- chengdu/news/2005.11.07.htm chengdu/news/2005.11.07.htm 2005年八月底在摩洛哥和土耳其拘捕了 2005年八月底在摩洛哥和土耳其拘捕了 两个年轻人 两个年轻人 SASSER蠕虫（震荡波） SASSER蠕虫（震荡波） Sven Jaschan , 德国人，18岁 Sven Jaschan , 德国人，18岁 5 7 2004年 月 日抓住 2004年5月7 日抓住 Netsky同一作者 Netsky同一作者 AgoBot AgoBot Agobot was written by Ago alias Wonk, Agobot was written by Ago alias Wonk, a young German man who was a young German man who was arrested in May 2004 for computer arrested in May 2004