应用层持久化攻击技术-Vxjumpnet.PDFVIP

应用层持久化攻击技术 nEINEI/ XCon2015 2015.07 目录 • 持久化攻击技术背景 – 什么是持久化技术 – 固件内核层持久化技术 – 应用层持久化技术 • 持久化攻击技术分析 – 利用 COM 机制持久化加载 – 利用注册表持久化隐藏 – Duqu2.0 的另类持久化 • 持久化技术对抗本质 – 解决方案的困局 – 探讨可能的防御技术 需要先明确一下几个概念，持久化技术其实并没有一个公认的准确的定义，这只是研究人员之间所描 述的大家都知道的一种技术称谓，那么它具有什么样的特点呢？明确一下我们今天的讨论的范畴，应用层 的，持久化技术，这些攻击手段，对终端未知防护技术的影响。 我们关注的持久化攻击技术的限制语境:1)定向攻击背景下 2)需要保护具有高价值的终端机器 3 应用层 Ring3 下的攻击技术。 由以上 3 点构成的持久化攻击技术才是我们讨论的。 • 什么是应用层持久化技术？ – 隐藏执行方式 – 难于防护甚至难于检测 – 不是 Rootkit • 归纳 – 能有效地执行不易察觉的攻击技术手段 – 是实施攻击的一个基础技术支撑点 说起持久化技术，首先绝大多数研究人员都想到的是固件类的攻击 ，例如， • Persistent BIOS Infection @CansecWest2009 • Icelord BMW BIOS infector @Chinese hacker 2007 | 2011 • Hardware Backdoringis Practical @Blackhat USA 2012 • VGA Persistent Rootkit @ekoparty 2012 • Analyzing UEFI BIOS from Attacker Defender Viewpoints @Black USA 2014 针对固件攻击是有一个很大代价的,编写难度大，需要有一个精英团队，一流的逆向分析人员，一流的 开发人员。很难跨平台，受不同型号硬件产品的局限。那么即便如此，我们仍然看到了 “方程式”组织人 员所掌握的利用的硬盘固件感染的技术。显然，固件持久化技术的高端路线，属于少数精英技术团体擅长 的技术。 但对于更广泛的定向攻击里面，应用层持久化技术则更有发展的空间。 应用层持久化被讨论的比较多的集中在 COM , 注册表 等相关技术中 ，例如， • Malware Persistence With HKEY_CURRENT_USER by herrcore,2015 • COM Object hijacking: the discreet way of persistence by Gdata ,2014 • Poweliks: the persistent malware without a file by Gdata, 2014 • Windows Registry Persistence by cylance ,2013 • Malware Persistence without the Windows Registry by Mandiant,2010 • … 应用层持久化技术，目前已经演绎成攻击者有效的提供基础支撑的技术手段. 下面我们着重讨论一下 COM 劫持技术。 利用 COM 机制持久化加载 • MD5:88fc61bcd28a9a0dc167bc78ba969fce( • Virus.Win32.Part.A [ByteHero 2009 年更新这条启发规则] • Win32/COMpfunc.A[ESET 2014.11 更新的病毒库，给出明确的病毒名称]) • 劫持点(CAccPropServicesClass / CLASS_I