静态扫描之ImpHash检测法

最新推荐文章于 2023-08-26 10:25:26 发布
最新推荐文章于 2023-08-26 10:25:26 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: 恶意软件分析

使用 Import Hashing 检测恶意软件

翻译自:https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html

一种特殊的检测恶意软件的方法是检测其PE文件导入表(Imports),导入表就是一个包含所有调用函数(一般是调用自Windows系统各种DLL)的表。对于每个软件(恶意软件),其ImpHash是唯一的,因为编译器是根据源码中每个函数出现的顺序来制定IAT(Import Address TableI)的。

下面以两个源码示例来进行演示:

#include 
#include 
#include 
#include 
#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "wininet.lib")
int makeMutexA()
{
    CreateMutexA(NULL, FALSE, "TestMutex");
    return 0;
}
int makeMutexW()
{
    CreateMutexW(NULL, FALSE, L"TestMutex");
    return 0;
}
int makeUserAgent()
{
    HANDLE hInet=0, hConn=0;
    char buf[sizeof(struct hostent)] = {0};
    hInet = InternetOpenA("User-Agent: (Windows; 5.1)", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
    hConn = InternetConnectA(hInet, "www.google.com", 443, NULL, NULL, INTERNET_SERVICE_HTTP, 0, 0);
    WSAAsyncGetHostByName(NULL, 3, "www.yahoo.com", buf, sizeof(struct hostent));
    return 0;
}
int main(int argc, char *argv[])
{
    makeMutexA();
    makeMutexW();
    makeUserAgent();
    return 0;
}

将上述源码编译时,生成的IAT如下所示:

ws2_32.dll
ws2_32.dll.WSAAsyncGetHostByName

wininet.dll
wininet.dll.InternetOpenA
wininet.dll.InternetConnectA

kernel32.dll
kernel32.dll.InterlockedIncrement
kernel32.dll.IsProcessorFeaturePresent
kernel32.dll.GetStringTypeW
kernel32.dll.MultiByteToWideChar
kernel32.dll.LCMapStringW
kernel32.dll.CreateMutexA
kernel32.dll.CreateMutexW
kernel32.dll.GetCommandLineA
kernel32.dll.HeapSetInformation
kernel32.dll.TerminateProcess

Imphash: 0c6803c4e922103c4dca5963aad36ddf

我简化了导入表以节省空间,其中粗体的API是源代码中引用到的函数。 请注意它们在导入表中出现的顺序,并将它们与源码中显示的顺序进行比较。

如果作者调整下函数的调用顺序,那么相应的,导入表也会随之变化,还是上面的源码实例:

#include 
#include 
#include 
#include 
#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "wininet.lib")
int makeMutexW()
{
    CreateMutexW(NULL, FALSE, L"TestMutex");
    return 0;
}
int makeMutexA()
{
    CreateMutexA(NULL, FALSE, "TestMutex");
    return 0;
}
int makeUserAgent()
{
    HANDLE hInet=0, hConn=0;
    char buf[sizeof(struct hostent)] = {0};
    hConn = InternetConnectA(hInet, "www.google.com", 443, NULL, NULL, INTERNET_SERVICE_HTTP, 0, 0);
  hInet = InternetOpenA("User-Agent: (Windows; 5.1)", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
    WSAAsyncGetHostByName(NULL, 3, "www.yahoo.com", buf, sizeof(struct hostent));
  return 0;
}
int main(int argc, char *argv[])
{
    makeMutexA();
    makeMutexW();
    makeUserAgent();
    return 0;
}

在这个例子中,我们调换了makeMutexW和makeMutexA以及InternetConnectA和InternetOpenA的顺序。(请注意,这将是一个错误的API调用逻辑,但我只是在这里作为讲解示范)下面是该源码的IAT,我们来跟上面的导入表和ImpHash进行比较:

ws2_32.dll
ws2_32.dll.WSAAsyncGetHostByName

wininet.dll
wininet.dll.InternetConnectA
wininet.dll.InternetOpenA

kernel32.dll
kernel32.dll.InterlockedIncrement
kernel32.dll.IsProcessorFeaturePresent
kernel32.dll.GetStringTypeW
kernel32.dll.MultiByteToWideChar
kernel32.dll.LCMapStringW
kernel32.dll.CreateMutexW
kernel32.dll.CreateMutexA
kernel32.dll.GetCommandLineA
kernel32.dll.HeapSetInformation
kernel32.dll.TerminateProcess

Imphash: b8bb385806b89680e13fc0cf24f4431e

我们发现随着函数调用顺序的改变, ImpHash 也会变得截然不同。

下面这个例子,将展示在编译时,包含文件的排序是如何影响IAT的(以及由此产生的ImpHash)。 在此示例,原来的imphash.c将包含进imphash1.c和imphash2.c:

-- imphash1.c --
int makeNamedPipeA()
{
HANDLE ph = CreateNamedPipeA("\\.\pipe    est_pipe", PIPE_ACCESS_DUPLEX,
    PIPE_TYPE_MESSAGE, 1, 128,
    64, 200, NULL);
    return 0;
}
-- imphash2.c --
int makeNamedPipeW()
{
    HANDLE ph2 = CreateNamedPipeW(L"\\.\pipe    est_pipeW", PIPE_ACCESS_DUPLEX,
        PIPE_TYPE_MESSAGE, 1, 128,
        64, 200, NULL);
    return 0;
}
-- imphash.c --
#include 
#include 
#include 
#include 
#include "imphash1.h"
#include "imphash2.h"
#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "wininet.lib")
int makeMutexW()
{
    CreateMutexW(NULL, FALSE, L"TestMutex");
    return 0;
}
int makeMutexA()
{
    CreateMutexA(NULL, FALSE, "TestMutex");
    return 0;
}
int makeUserAgent()
{
    HANDLE hInet = 0, hConn = 0;
    char buf[sizeof(struct hostent)] = {0};
    hConn = InternetConnectA(hInet, "www.google.com", 443, NULL, NULL, INTERNET_SERVICE_HTTP, 0, 0);
    hInet = InternetOpenA("User-Agent: (Windows; 5.1)", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
    WSAAsyncGetHostByName(NULL, 3, "www.yahoo.com", buf, sizeof(struct hostent));
    return 0;
}
int main(int argc, char *argv[])
{
    makeMutexA();
    makeMutexW();
    makeUserAgent();
    makeNamedPipeA();
    makeNamedPipeW();
    return 0;
}

使用以下命令编译:

cl imphash.c imphash1.c imphash2.c /W3 /WX /link

IAT顺序如下:

ws2_32.dll
ws2_32.dll.WSAAsyncGetHostByName
wininet.dll
wininet.dll.InternetConnectA
wininet.dll.InternetOpenA
kernel32.dll
kernel32.dll.TlsFree
kernel32.dll.IsProcessorFeaturePresent
kernel32.dll.GetStringTypeW
kernel32.dll.MultiByteToWideChar
kernel32.dll.LCMapStringW
kernel32.dll.CreateMutexW
kernel32.dll.CreateMutexA
kernel32.dll.CreateNamedPipeA
kernel32.dll.CreateNamedPipeW
kernel32.dll.GetCommandLineA
kernel32.dll.HeapSetInformation
kernel32.dll.TerminateProcess

Imphash: 9129bdbc18cfd1aba498c94e809567d5

在imphash.c中更改imphash1.h和imphash2.h的include顺序将不会影响IAT的顺序。 但是,更改编译命令中文件imphash1.h和imphash2.h的顺序则会影响IAT(PS:注意CreateNamedPipeW和CreateNamedPipeA的重新排序):

cl imphash.c imphash2.c imphash1.c /W3 /WX /link

ws2_32.dll
ws2_32.dll.WSAAsyncGetHostByName
wininet.dll
wininet.dll.InternetConnectA
wininet.dll.InternetOpenA
kernel32.dll
kernel32.dll.TlsFree
kernel32.dll.IsProcessorFeaturePresent
kernel32.dll.GetStringTypeW
kernel32.dll.MultiByteToWideChar
kernel32.dll.LCMapStringW
kernel32.dll.CreateMutexW
kernel32.dll.CreateMutexA
kernel32.dll.CreateNamedPipeW
kernel32.dll.CreateNamedPipeA
kernel32.dll.GetCommandLineA
kernel32.dll.HeapSetInformation
kernel32.dll.TerminateProcess

Imphash: c259e28326b63577c31ee2c01b25d3fa

这些例子表明,源代码中函数导入的顺序以及编译时的参数顺序都会影响IAT,从而影响产生的ImpHash值。也就是说,即使两个不同的二进制文件的函数导入模式一样,但因为编码时的方式不一样,最终得到的ImpHash值也会不同。相反,如果两个文件具有相同的ImpHash值,则它们具有相同的IAT,这意味着这些文件是从相同的源代码编译的,并且编码方式相同。

对于一些加壳样本、小型的工具和程序(因为其导入函数很少,编译方式也可能相同),它们的ImpHash值就可能相同。 换句话说,两个不同恶意软件可能会因为这些因素具有相同的ImpHash。

然而,对于更复杂的工具(如恶意软件)来说,在存在足够数量的导入函数的情况下,ImpHash应该是唯一的,因此可以用于识别结构相似的恶意软件家族。 虽然具有相同ImpHash的恶意软件不能保证来自相同的家族,但至少可以给你提供一个额外的线索。

我们在使用ImpHash检测恶意软件上取得了巨大的成功。官方也将此方法加入了pefile库,示例代码:

import pefile
pe = pefile.PE(sys.argv[1])
print "Import Hash: %s" % pe.get_imphash()

设想一个场景,一个攻击者根据不同的C&C地址和代号ID编译30个后门变种,并将它们部署到不同的公司。 如果有博客文章讨论其公司正被某MD5的后门监视,那么基于该MD5,攻击者立即知道哪些C&C服务器处于危险之中。 但是,如果博客只是讨论后门的ImpHash值,则攻击者并不知道究竟是30个变种中的哪个被发现。

为了展示这种检测方法的效果,我们来看一看Mandiant APT1报告中分享的几个恶意软件家族的ImpHash值:

Family Name          Import Hash          Total Imports Number of matched Samples

GREENCAT    2c26ec4a570a502ed3e8484295581989      74              23
GREENCAT    b722c33458882a1ab65a13e99efe357e      74              18
GREENCAT    2d24325daea16e770eb82fa6774d70f1     113              13
GREENCAT    0d72b49ed68430225595cc1efb43ced9     100              13
STARSYPOUND 959711e93a68941639fd8b7fba3ca28f      62              31
COOKIEBAG   4cec0085b43f40b4743dc218c585f2ec      79              10
NEWSREELS   3b10d6b16f135c366fc8e88cba49bc6c      77              41
NEWSREELS   4f0aca83dfe82b02bbecce448ce8be00      80              10
TABMSGSQL   ee22b62aa3a63b7c17316d219d555891     102               9
WEBC2       a1a42f57ff30983efda08b68fedd3cfc      63              25
WEBC2       7276a74b59de5761801b35c672c9ccb4      52              13

Mandiant APT1报告展示了几个恶意软件家族的ImpHash值以及各个ImpHash值所匹配到的样本数。由此我们可以看出,同一个恶意软件家族的样本大都具有相同的ImpHash值,我们可以使用此方法来对各个样本变种进行归类。

最后,即使ImpHash检测法是个简单高效的方法,但是,不能单纯使用ImpHash对恶意样本进行检测,它应该配合其他检测法一起使用。

G4rb3n
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录遇到的几个场景题
qq_23669881的博客
11-03 190
(1) 如何实现亿级数据的全排序 其实考察的就是merge思想,内存不够时候的解决方案。现在的成熟解决框架,就是hadoop,storm这些。以hadoop为例,记录下什么阶段会排序。 1.map最后阶段进行partition分区,一般使用job.setPartitionerClass设置的类,如果没有自定义Key的hashCode()方法进行分区。在map阶段写出到环形缓冲区,在环形缓冲区溢写时会进行一次排序,每个分区内部调用job.setSortComparatorClass设置的key的比较函数类
计算PE文件的imphash
yellow的博客
05-22 987
最近virustotal中发现一个Darkside家族样本满足yara规则如下: rule Unspecified_Malware_Sep1_A1 { meta: description = "Detects malware from DrqgonFly APT report" license = " " author = " " reference = " " date = " " hash = "243dff06fc80a049f4fb37292f8b8def0fce
oracle中imp命令详解
穿越海洋
03-26 2万+
oracle中imp命令详解 Oracle的导入实用程序(Import utility)允许从数据库提取数据,并且将数据写入操作系统文件。imp使用的基本格式:imp[username[/password[@service]]],以下例举imp常用用法。 1. 获取帮助 imp help=y 2. 导入一个完整数据库 imp system/manager file=bible_
scikit-learn机器学习--特征处理
刘宏宇的博客
09-12 1838
参考并推荐:菜菜的sklearn课堂:http://edu.cda.cn/course/982 目录 1.归一化:preprocessing.MinMaxScaler 1.1实战部分: 1.2实战部分:numpy实现归一化 2.标准化 preprocessing.StandardScaler 2.1实战部分 3.汇总 4.缺失值处理 4.1实战部分 4.2实战部分:panda...
ORACLE IMP STATISTICS参数
jc_benben的专栏
03-17 3159
STATISTICS  Default: ALWAYS    Specifies what is done with the database optimizer statistics at import time.  The options are:    ALWAYS  Always import database optimizer statistics regardless
静态代码扫描工具TscanCode.zip
07-27
静态代码扫描工具TscanCode详解》 在软件开发领域,静态代码分析是保障代码质量、提高软件安全性和可维护性的重要手段。TscanCode是一款备受业界关注的静态代码扫描工具,它以其强大的功能和易用性,为开发者提供...
Java静态检测工具的简单介绍
03-23
静态检查:静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人...看了一系列的静态代码扫描或者叫静态代码分析工具后,总结对工具的看法:静态代码扫描工具,和编译器的某些功能其实是
电机静态检测技术介绍
11-01
电机静态检测的技术介绍 PI=10分钟对地绝缘值/1分钟对地绝缘值,因为PI是相对值,不受温度和湿度的影响(温度可5到10倍影响绝缘电阻值变化),传统绝缘电阻R值,仅提供一个状态点的值,且受温度影响很大。
Oracle 数据库备份与恢复总结-exp/imp (导出与导入装库与卸库)
babylon_0049的专栏
04-20 3699
1.1  基本命令  1.  获取帮助   $ exp help=y $ imp help=y   2.  三种工作方式   (1)交互式方式 $ exp        //  然后按提示输入所需要的参数 (2)命令行方式 $ exp user/pwd@dbname file=/oracle/test.dmp full=y    //  命令行中输入所需的参数   (3)
Python3《机器学习实战》学习笔记(十):提升分类器性能利器-AdaBoost
热门推荐
Jack-Cui
10-12 2万+
前面的文章已经介绍了五种不同的分类器,它们各有优缺点。我们可以很自然地将不同的分类器组合起来,而这种组合结果则被成为集成方法(ensemble method)或者元算法(meta-algorithm)。使用集成方法时会有多种形式:可以是不同算法的集成,也可以是同一种算法在不同设置下的集成,还可以是数据集不同部分分配给不同分类器之后的集成。
Hash_Malware_Classifier:基于Imphash和Fuzzyhash的恶意软件分类器
05-16
Hash_Malware_Classifier 基于Imphash和Fuzzyhash的恶意软件分类器 使用Imphash和Fuzzyhash的恶意软件分类程序是在监督学习的指导下进行的程序。 该程序将包含文件的文件夹作为训练集,并为其生成哈希签名。 哈希通过文件的唯一消息摘要值相互关联。 一旦创建了签名数据库,分类器就可以在未知文件集上运行,以检查它们是否类似于数据库中的文件。 该程序可用于恶意软件操作中,以构建一个系统来聚类相似的恶意软件或文件样本。 然后可以隔离这些群集文件,并可以为群集设计字符串签名(例如yara,AV)。 设置分类器 支持:Unix / Windows,在Unix上测试依存关系: Python模块:pefile Python模块:ssdeep 执行程序 用法:program.py命令目录命令:'build'-构建imphash签名'匹配'-比较带有签名的文件
telfhash:ELF文件的符号哈希
05-25
趋势科技ELF哈希(telfhash) telfhash是ELF文件的符号哈希,就像imphash是PE文件的导入哈希一样。 安装 要求 telfhash在生成哈希时使用TLSH。 必须在您的系统中安装TLSH才能使telfhash正常工作。 您可以从此处安装TLSH: TLSH git repo包含有关如何编译和安装TLSH二进制文件和库的详细说明。 别忘了还要安装TLSH Python库。 telfhash使用TLSH Python库生成实际的哈希。 正在安装 从此处克隆telfhash存储库: 使用setup.py安装telfhash库: python setup.py install 用法 如果未安装TLSH Python库,则telfhash将生成异常错误。 命令行 如果通过python setup.py install命令python setup.py instal
ocp11g培训内部教材_052课堂笔记(042)_体系架构
weixin_30546189的博客
09-04 639
OCP 052 课堂笔记 目录 第一部分: Oracle体系架构... 4 第一章:实例与数据库... 4 1、Oracle 网络架构及应用环境... 4 2、Oracle 体系结构... 4 3、 SGA. 5 4 Oracle的进程: 9 5 PGA. 12 6、用户与Oracle服务器的连接方式... 12 第二章:实例管理及数据库的启动/关闭... 14 ...
主机异步查询函数WSAAsyncGetHostByName
c0c0cf的专栏
03-28 1876
函数WSAAsyncGetHostByName是gethostbyname的一部版本,得到与主机名相关的信息,其参数意义。如果所有参数都是有效的,WinSock初始化用户要求的操作,立即返回嗲偶用的程序,返回值是异步任务的句柄。应用程序需要保存的返回的句柄,这个句柄有两个用途: 1表示查询操作,消息的wParam是之前调用函数返回异步任务的一部句柄,如果应用程序发布了多个域名查询操作,他可以根据
.exp文件_exp及expdp的主要区别及常用的导入导出操作
weixin_39719042的博客
11-27 778
exp及expdp的主要区别EXP和IMP是客户端工具程序,它们既可以在客户端使用,也可以在服务端使用。EXPDP和IMPDP是服务端的工具程序,他们只能在ORACLE服务端使用,不能在客户端使用常用的导入导出操作:exp system/manager buffer=缓冲大小(1024-4096) file=备份文件名(*.dmp) full=y system/manager登录名和密码expdp...
【机器学习|Python】sklearn中的数据预处理方法
最新发布
weixin_68789096的博客
08-26 1941
本篇文章主要讲解Python的sklearn库中常用的数据预处理方法,主要介绍工具中的内容,即该库中的相关方法包含的常用接口和基本使用,并不适合手把手入门学习,此外将涉及更少的原理和使用情况说明。
因果推断与反事实预测——利用DML进行价格弹性计算(二十四)
素质云笔记
01-04 7757
文章目录1 导言1.1 价格需求弹性介绍1.2 由盒马反事实预测论文开始1.3 DML - 价格弹性预测推理步骤2 案例详解2.1 数据清理2.2 [v1版]求解价格弹性:OLS回归2.3 [v2版]求解价格弹性:Poisson回归+多元岭回归2.4 [v3版]求解价格弹性:DML2.4.1 DML数据准备 + 建模 + 求残差2.4.2 三块模型对比2.4.3 稳健性评估 1 导言 1.1 价格需求弹性介绍 经济学课程里谈到价格需求弹性,描述需求数量随商品价格的变动而变化的弹性。价格一般不直接影响需求,
sklearn——转换器(Transformer)与预估器(estimator)
Sail的博客
10-29 1661
sklearn——转换器(Transformer)与预估器(estimator) 文章目录sklearn——转换器(Transformer)与预估器(estimator)转换器 Transformerfit 与 fit_transform 与 transform值得注意的是扒拉了下源码(可以不看这部分,看上面结论就够了)预估器 Estimator 在我之前接触的sklearn中,有 SimpleImputer 、OrdinalEncoder、OneHotEncoder,他们的共同点是都用于对数据特征预处理
stata学习笔记(六):超额累进收益率
weixin_30684743的博客
10-25 1967
1.日期转换 gen year=substr(date,1,4) //提取字符串 destring year,replace //字符串转为数字 gen date1=mdy(month,day,year) //合并日期(结果为数字,比如17654) format date1 %td //转换格式 drop month da...
"电机静态检测技术与预防维修介绍
本文介绍了设备主机外形电机静态检测技术。设备主机外形电机预防性维修与检测是一种能够确保设备主机外形性能的检测技术。本文分析了绝缘健康状状态测试、定子健康状状态测试、转子健康状状态测试、气隙健康状状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值