第十四章 恶意代码的网络特征
1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全
设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对
网络的访问。
入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的
入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服
务枚举与分析,非标准协议的使用,以及安装恶意代码的通信信令等等。
<1>在原始环境中观察恶意代码。 恶意代码分析第一步不应该是实验环境中运行恶意代码,
也不是解剖恶意代码分析它的反汇编代码。而应该是首先查看已经获取的关于恶意代码的
所有数据。恶意代码分析师经常得到一个没有任何上下文的恶意代码样本(或者是可疑的可
执行文件),但在大多数情况下,你看可以获取恶意的更多数据。开始恶意代码网络行为分
析的最好方法是挖掘恶意代码已经生成的日志。
<2>恶意行为的总计
<3>操作安全性。 当你调查过程中采取某些行动时,会告诉恶意代码编写者你已经识别了
恶意代码,甚至可能会向攻击者泄露你的个人信息。
2.安全地调查在线攻击者 最安全的选择是完全不使用互联网去调查攻击,但这往往是不切实
际的。如果你使用互联网,则应该使用间接的方法,来逃避攻击者潜在的关注。
<1>间接性策略。 提供匿名的服务或者机制。
<2>获取IP地址和域名信息
<3>基于内容的网络应对措施
<3.1>使用snort进行入侵检测
<3.2>深入观察
<4>结合动态和静态分析技术
<4.1>过度分析的危险。 如果恶意代码分析的目标是开发有效的网络特征,那么就不需
要理解代码的每个模块。
<4.2>在众目睽睽下隐藏。 免杀是攻击者操纵后门的主要目标之一,因为一旦恶意代码被
检测出,攻击者不仅会失去对现有受害机器的访问,而且增加了未来被发现的风险。
<4.3>理解周边代码。 网络行为有俩种类型:发送数据和接受数据,分析发送出去的数据通
常比较容易,因为无论恶意代码何时运行,他都会产生便于分析的样本,
<4.4>寻找网络操作代码
<4.5>了解网络内容的来源
<4.6>硬编码数据vs临时数据
<4.7>确定和利用编码步骤
<4.8>创建特征
<4.9>分析解析例程
<4.10>这奴棣多个元素 针对不同的元素,创建出不同的网络特征
<5>了解攻击者的意图
- 专注属于俩端之间的协议元素
- 专注于已知的任何协议元素作为密钥的部分
- 确定流量中不太明显的协议元素
Lab14-1
分析恶意代码文件Lab14-01.exe。这个程序对你的系统无害。