Malicious code detection

Größe: px

Ab Seite anzeigen:

Download "Malicious code detection"

Regina Richter
vor 6 Jahren
Abrufe

1 Malicious code detection Hauptseminar: Zwischen formalen Methoden und Praxis - Malicious code detection - Oliver Arafat arafat@in.tum.de 10. Juli

2 Inhalt 1. Einführung 1.1 Was ist Malicious Code? 1.2 Signature Matching 1.3 Obfuscation Techniken 1.4 Testergebnisse kommerzieller Virenscanner 2. SAFE 2.1 Überblick über die Architektur von SAFE 2.2 Definitionen (CFG, Patterns, Bindings) 2.3 Program Annotator 2.4 Malicious Code Automaton 2.5 Detector 2.6 Der Algorithmus 3. Fazit 2

3 Was ist Malicious Code? Unterteilung anhand der Fortpflanzungsmethode und des Ziels Viren Würmer Trojanische Pferde Back Doors Spyware 3

4 Signature Matching Klassischer Ansatz: Matching auf eine Virus Signatur Nur sinnvoll, wenn der Virus Code sich nicht verändert! 4

5 Signature Matching Teil des Virus Codes E call 0h 5B pop ebx 8D 4B 42 lea ecx, [ebx + 42h] 51 push ecx 50 push eax 50 push eax 0F01 4C 24 FE sidt [esp 02h] 5B pop ebx VIRUS SIGNATUR: E B 8D4B F01 4C24 FE5B 5

6 Obfuscation Techniken Dead-Code Insertion Code Transposition Register Reassignment Instruction Substitution 6

7 Obfuscation Techniken Dead Code Insertion Hinzufügen von Code, ohne das Programmverhalten zu ändern. NOP-Instructions Ändern des Programmzustands und sofortiges wiederherstellen 7

8 Obfuscation Techniken Code Transposition Zufälliges umordnen der Befehle und einfügen von unbedingten Sprüngen um den ursprüngliche Ablauf wiederherzustellen Vertauschen von untereinander unabhängigen Befehlen 8

9 Obfuscation Techniken Register Reassignment Das Register B wird anstatt des Registers A in einer spezifischen live-range benutzt 9

10 Obfuscation Techniken Instruction Substitution Benutzung eines Wörterbuchs mit untereinander äquivalenten Befehlsfolgen Ersetzung einer Befehlsfolge A mit einer äquivalenten Befehlsfolge B 10

11 Obfuscation Techniken Beispiel Dead-Code insertion und code transposition Original Code Obfuscated Code jecxz Rest_of_code jecxz Rest_of_code pop ebx pop ebx mov ebx, [eax + 42h] jmp S2 push ecx S3:push eax push eax inc eax push eax push eax dec [esp 0h] dec eax jmp Rest_of_code S2:mov ebx, [eax+42h] nop push ecx jmp S3 11

12 Testergebnisse 12

13 Inhalt Wo sind wir? 1. Einführung 1.1 Was ist Malicious Code? 1.2 Signature Matching 1.3 Obfuscation Techniken 1.4 Testergebnisse kommerzieller Virenscanner 2. SAFE 2.1 Überblick über die Architektur von SAFE 2.2 Definitionen (CFG, Patterns, Bindings) 2.3 Program Annotator 2.4 Malicious Code Automaton 2.5 Detector 2.6 Der Algorithmus 3. Fazit 13

14 Architektur von SAFE 14

15 Architektur von SAFE Executable Loader Transformiert die ausführbare Datei in einen Control Flow Graph(CFG) Code Transposition erhält dadurch geringen Obfuscation Wert 15

16 Architektur von SAFE - CFG 16

17 Architektur von SAFE 17

18 Definitionen Abstraction Pattern Ein Pattern ist definiert als ein 3-Tupel =V,O,C Ein solches Pattern ist ein Alphabetsymbol für den Malicious Code Automaton (MCA) Beispiel: 18

19 Definitionen Uninterpreted Symbols Das Pattern matched jede Instanz eines Patterns, wo X ein spezifisches Register zugewiesen wird. Register Reassignment wird nutzlos! 19

20 Definitionen Bindings Eine Menge von Paaren uninterpretierter Symbole sowie deren konkreten Zuweisungen Beispiel: 20

21 Architektur von SAFE 21

22 Program Annotator Annotator Verknüpft einen Knoten n im CFG mit matchenden Patterns 22

23 Annotated CFG - Beispiel 23

24 Architektur von SAFE 24

25 Malicious Code Automaton (MCA) S 0 Ein MCA ist ein 6-tupel (V,,S,,,F) ist ein finites Alphabet von Abstraction Patterns 25

26 Detector Erhält als ein Eingabe: Annotiertes Programm (P ) MCA (A) Entscheidet ob folgende Sprache leer ist: 26

27 Der Algorithmus Jedem Knoten n des CFG wird eine Pre-Liste und Post-Liste zugewiesen Jedes Element einer solchen Liste ist ein Paar [s, B] 27

28 Der Algorithmus 28

29 Der Algorithmus Initialisierungsphase 29

30 Der Algorithmus Update-Phase Update der Pre- und Postlisten Update läuft solange, bis ein Fixpunkt erreicht ist Ein Fixpunkt ist dann erreicht, wenn sich alle Listen nicht mehr verändern 30

31 Der Algorithmus 31

32 Der Algorithmus Ausgabe Befindet sich der MCA in einem Endzustand, so wurde Malicious Code gefunden! Formal: 32

33 Fazit Pros: Sehr gute Erkennungsrate, insbesondere bei obfuscated code Modell-Checking statt Signature Matching Cons: Sehr langsam! Anwendung in der Praxis fragwürdig Bsp.: Bei einer Dateigröße von 1MB benötigt das Annotieren 800 sek., der Detector benötigt nochmals 160 sek.! 33

34 Ende Vielen Dank für die Aufmerksamkeit! Fragen? 34

Ähnliche Dokumente

Hauptseminar Malicious Code: Viren, Würmer und Co.

Hauptseminar Malicious Code: Viren, Würmer und Co. Statische Programmanalyse Matthias Langhammer Technische Universität München,langhamm@in.tum.de Zusammenfassung Um ihre Existenz zu verschleiern enthalten