APT检测中的0day与恶意软件检测.pdfVIP

APT检测中的 0day 和恶意软件 演讲人 ：张聪 职务 ：360资深安全研究员 zhangcong@360.cn 日期 ：2013年9月23 日 @ftofficer_张聪 2 0 1 3 中 国 互 联 网 安 全 大 会 @ftofficer 议题 • 0day漏洞的检测 – 漏洞利用的软肋 – 0day漏洞利用的检测手段 • 未知恶意代码防御 – 恶意代码的优势和软肋 – 恶意代码防御策略 2 0 1 3 中 国 互 联 网 安 全 大 会 漏洞利用的软肋 操纵内存 利用漏洞 ShellCode代码 部署代码 跳转执行流 执行 没有能力影响执行逻辑 需要利用系统当中的特定指令、特定内存 布局（部分漏洞利用可能不需要）、需要 内存属性变更 需要系统调用来完成工作 2 0 1 3 中 国 互 联 网 安 全 大 会 ShellCode的软肋 • 有用的ShellCode必须依赖系统服务 – 读写文件 – 获取系统环境 – 创建进程 • ShellCode 不是正常的代码 – 用数据冒充代码 – 利用现有代码做跳转和组合 2 0 1 3 中 国 互 联 网 安 全 大 会 0day漏洞利用的检测手段 • 操纵内存 操纵执行流阶段 – 内存布局侦测 – 内存块源头追踪 – 关键指令代码监控 – 预先内存占坑 2 0 1 3 中 国 互 联 网 安 全 大 会 0day漏洞利用的检测手段 • ShellCode执行阶段 – 系统调用入口埋点 – 系统调用环境检测 – 调用来源内存属性检测 – 调用链条回溯 2 0 1 3 中 国 互 联 网 安 全 大 会 未知恶意代码防御 • 未知恶意代码是不可检测的 – 静态检测的指令、逻辑的变形和VM壳的存在 – 云端控制指令等外部依赖的存在 – 利用检测环境和目标执行环境的差异性 – 只执行一次的代码 – 碎片组合起来的恶意代码 – …… 2 0 1 3 中 国 互 联 网 安 全 大 会 未知恶意代码的对抗 • 攻击者的软肋 – 必然落在一个终端上 – 必然要在此终端上运行 – 必然需要接触敏感数据 – 必然有网络行为 2 0 1 3 中 国 互 联 网 安 全 大 会 未知恶意代码防御手段 • 主动防御+隔离沙箱 – 监控和审计程序的敏感行为，包括网络行为 – 模拟执行环境，实现隔离 • 终端代码执行控制 – 只运行经过检测的可信程序（非白即黑） – 将攻击者逼回到漏洞利用