规避性恶意软件研究：设计、保护和检测 -- 塞德里克·赫尔佐格，2022年，中央超级电力公司

规避性恶意软件研究：设计、保护和检测塞德里克·赫尔佐格引用此版本：塞德里克·赫尔佐格。规避性恶意软件研究：设计、保护和检测。密码学和安全学[cs.CR]。2022年中央超级电力公司。法语。NNT：2022CSUP0001。电话：04003402HAL ID：电话：04003402https://theses.hal.science/tel-04003402提交日期：2023年HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire中央最高法院C OMUE U NIVERSITE B代表OireE科尔 第601章第一次见面数学与信息与通信科学与技术由塞德里克·赫尔佐格规避性恶意软件研究：设计、保护和检测论文于2022年1月28日在雷恩提交并答辩研究单位：IRISA论文编号：2022CSUP 0001THESSE 德 博士学位答辩前的报告员：Aurélien Francillon教授-EURECOMJacques Klein副教授-卢森堡评审团组成：主席：文森特·尼科梅特教师- INSA图卢兹检查员：马里恩·维德奥科学总监-QuarkslabDir.论文：Valerie Viet Triem TongCentraleSupelec教授框架：皮埃尔·威尔克CentraleSupelec高级讲师客人：让-玛丽·博雷洛·泰勒斯摘要恶意软件和防病毒软件之间存在着持续的对抗，这导致了双方的不断发展。D’un côté, lesantivirus mettent en place des solutions de plus en avancées et proposent des techniquesde détection complexes qui viennent 当检测到新的恶意软件时这种复杂性导致防病毒软件在其保护的计算机上留下其存在的痕迹D’un autre côté, des auteurs de malware qui souhaitent créer des malware durables àmoindre coût peuvent quant à eux utiliser de simples méthodes qui permettent d’éviterune 恶意软件可能会扫描防病毒软件留下的痕迹或伪影，我们将此类程序称为规避性恶意软件。本论文的重点是研究以Windows操作系统为目标的规避性恶意第一个贡献是评估规避技术对一组防病毒软件的有效性。然后，我们提出了一种对策，旨在通过模拟操作系统中的防病毒软件所做的更改来阻止这些诱饵是通过使用Microsoft Detours的Windows应用程序编程接口（API）工具创建的我们在一些从野外恢复的规避性恶意软件的例子中评估了这种对策。第二个贡献旨在解决规避性恶意软件数据集的缺乏问题。为此，我们以两种方式标记现有的Windows恶意软件数据集。第一，使用自动检测，使用我们第一个贡献中的对策，第二，使用公开可用的出版物[1]Valérie VIE tTRIEM Tong等人。隔离Android恶意软件中的恶意代码MALCON 2019-第14届恶意和不需要的软件国际会议。Malcon 2019.美国楠塔基特岛：IEEE计算机学会，2019年10月（参见第90页）。[2]Cédric HE RZOG et al.规避性Windows恶意软件：对防病毒软件和可能的对策的影响。SECRYPT 2020 -第17届安全与密码学国际会议。第17届电子商务和电信国际联席会议记录-（第3卷）。Lieusaint -法国巴黎：SCITEPRESS -科学和技术出版物，7月。2020年，第302-309页。DoI：10.5220/0009816703020309（参见第89页）。[3]Cédric HE RZOG et al."Windows恶意软件规避：对防病毒软件的影响和可能的对策"。在：C ESAR 2020 -计算机电子安全应用会议。法国雷恩，12月。2020年（cf.P. 89）。谢谢你首先，我要感谢Valérie Viet Triem Tong、Pierre Wilke和Jean-Louis Lanet，感谢他们的特别感谢瓦莱丽感谢Marion Videau、Vincent Nicomette、Aurélien Francillon和Jacques Klein同意成为我的论文评审团的一员，特别是Aurélien和Jacques对我的手稿进行了校对。还要感谢Davide Balzarotti、Clémentine Maurice和Marco Balduzzi，感谢他们给我的时间和他们在论文委员会在Alexandre Sanchez和Léopold Ouairy的帮助下，实验的实施得到了极大的促进，我非常感谢他们。感谢Lydie和Myriam的耐心和他们对在CIDRE团队中完成这篇论文是非常愉快的。我要感谢它的所有成员，感谢他们在一起度过的所有时刻，感谢我对他们的回忆我特别记得与Aimad Berady、Tomàs ConcepciónMiranda、Pierre Graux、David Lanoë、Ronny Chevalier和Benoît Fournier一起度过的时光，特别是在撰写信号是4272613d05021b131f组成功的关键，使安全壳更容易忍受。因此，丹克向卢多维克·克劳德皮埃尔、马蒂厄·埃斯库特鲁、皮埃尔-伊夫·佩诺和利奥波德·韦里致敬，感谢他们分享的所有愚蠢之处列表1）。最后，感谢我的家人，他们一直在推动和鼓励我，感谢他们，我继续我的学业。特别感谢Shirin，她和我经历了同样的事情，我能够和她分享我的疑虑，在这三年里，她从未停止过鼓励我。1那么IA-32是 x 8 6 吗 ？2组织0x1003mov dx，msg4Mov啊，95int0x216mov啊，0x4c7int0x218msg db '白痴! <3' ， 0 x 0 d ， 0 x 0 a ， ' $ '清单1：谢谢!材料表摘要I出版物II谢谢你三目录ivProloGUE11导言31.1进攻者和防守者之间的战斗演变。... ... ... ... ... ... ... ... ... ... ...31.2贡献... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 42最新技术水平2.1不同的研究课题... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...72.1.1规避技巧... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...82.1.2隐形分析... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...82.1.3检测规避性恶意软件... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...92.1.4规避性恶意软件的分类112.1.5恶意软件情报112.1.6预防122.2突破技巧2.2.1虚拟机和仿真器132.2.2针对虚拟环境的规避技术2.2.3调试器示例172.2.4各种182.3现有规避性恶意软件数据集192.3.1参考书目数据集说明192.3.2与真相相关的偏见212.3.3未披露的真相2427岁以下的人3规避性恶意软件293.1防病毒软件的工作原理293.2逃离防病毒软件303.2.1调试器的检测303.2.2检测3.2.3检测虚拟机、仿真器、沙箱313.3创建3.3.1Nuky是一种可配置的恶意软件313.3.2防病毒软件检测规避性恶意软件的3.4从野外收集的规避性恶意软件数据集3.4.1使用Yara36规则进行筛选3.4.2样本采集3.4.3回收样品的描述433.5结论434反恶意软件规避措施454.1反措施的目的454.1.1规避性反恶意软件对策454.2人工制品的模拟464.2.1返回单个值484.2.2基于论证484.2.3执行功能50后的持久诱饵4.3设备和方法514.3.1MoM-v1平台514.3.2实验过程4.3.3方法534.4实验554.4.1验证我们的对策运行554.4.2对自然界554.4.3对抗措施的开销564.5讨论和局限性574.6结论575创建5.1现有数据集595.2新的规避性恶意软件615.3自动标签625.3.1定义和起始625.3.2用于实验的设备5.3.3执行恶意软件时执行的监视5.3.4比较标准的提取665.3.5调整以比较多个执行685.3.6对比较标准进行705.3.7评分和标签745.3.8自动标记恶意软件的结果来自Malpedia765.4协作标签775.4.1用于TEMPO77平台的设备5.4.2审查方法785.4.3合作标签的结果5.5评估5.6讨论845.7结论8587年的今天6结论896.1Nuky896.2反措施896.3规避性恶意软件数据集906.4未来工作90安EXE S93A 仪器代码95B雅拉规则代码105C监控代码109交互式参考书目113的参考文献其他参考文献119索引121词汇表123图表2.1参考书目的可视化。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...72.2链接到交互式参考书目。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...72.3类型1虚拟机管理程序和类型1虚拟机管理程序之间的体系结构差异类型2142.4纯软件虚拟化的功能142.5硬件辅助虚拟化的工作原理152.6仿真的工作原理2.7图灵测试19...........................................................................................................................2.8文章套件中使用的数据集示例3.1Nuky31的工作原理图3.2比较使用AES的图像加密ECB和CBC334.1MoM53平台的功能4.2用于比较Procmon54生成的两个CSV的工具5.1Tempo平台可通过以下链接找到：https://tempo.irisa.fr。595.2如何自动标记恶意软件5.3首先在没有对策的情况下，然后在有对策的情况下，工作集大小测量值的比较5.4表示数据系列类型的度量，在两个环境中执行恶意软件的大小5.5在存在或不存在对策72的情况下的执行时间的箱形图表示5.6自动检测为规避的765.7根据获得的分数765.8每个标准受到对策影响的次数百分比。775.9TEMPO78平台的演示图5.10 来自Malpedia79的恶意软件列表5.11 针对恶意软件编写的评论示例5.12 拥有评论的805.13 被协作标记为规避的805.14 根据获得的分数对815.15 每个标准受到对策影响的次数百分比。815.16 显示假阳性、假阴性、真阳性和真阴性结果自动标签与协作标签的比较5.17 根据在每个恶意软件的版本字段中找到的年份，自动标记与粘贴标记相比的性能5.18 对于每个标准，标准环境和分析环境之间该标准显著不同的图片列表2.1虚拟化工具年表162.2文献中存在的恶意软件数据集的详细信息263.1Nuky在每个类别323.2Nuky32的有效载荷列表3.3防病毒软件检测到的有效负载343.4根据激活的规避块触发警报3.5防病毒规避块检测到的伪影数量3.7 所选样品列表..................................................................................................................... 423.6每个规则424.1选择的样品和对策564.2启用和不启用对策时的执行时间5.1为执行执行而执行的测量的汇总表。............................................................................... 665.2观察每个环境中的执行时间（秒）以确定对策的可能影响这些值是模拟的。675.3根据p值和由以下因素引起的开销计算分数的示例一个是规避性恶意软件的对策，另一个是非规避性恶意软件。....................................745.4在手动标记的测试数据集上计算分数的结果................................................................... 755.5假阳性、假阴性、真阳性和真阴性的定义....................................................................... 82列表列表1谢谢!............................................................................................................................................iii.3.1EICAR33文件的内容3.2子规则中的代码，用于检测试图检测正在运行的调试器的恶意软件。..................373.3子规则代码，用于检测对已知调试器进行攻击的恶意软件。.................................. 373.4子规则中的代码，用于检测试图检测正在运行的防病毒软件的恶意软件。......... 383.5子规则中的代码，用于检测试图检测正在运行的沙箱的恶意软件。......................383.6子规则中的代码，用于检测试图查找沙箱中经常使用的用户名的恶意软件。.....393.7子规则中的代码，用于检测试图检测沙箱特定DLL的恶意软件。..........................393.8子规则代码，用于检测列出属于防病毒软件的文件夹的恶意软件。......................393.9子规则代码，用于检测列出属于沙箱的文件夹的恶意软件。.................................. 403.10 用于检测恶意软件的规则代码，这些恶意软件会查找沙箱经常使用的MAC地址。......................................................................................................................................403.11 用于检测正在查找与已知调试器匹配的窗口名称的恶意软件的规则代码。................414.1创建指向未仪表化目标函数的指针。...............................................................................464.2DLL的入口点，其中的功能迂回。.......................................................................................................................... 474.3isDebuggerPresent的dotour函数代码.............................................................................. 484.4getModuleHandle的迂回函数代码.................................................................................. 484.5createHelp32Snapshot的迂回函数代码...........................................................................505.1GetAccessTimes函数（procestreadsapi.h）665.2函数GetAccessMemory信息（psapi.h）665.3查询过程周期时间（realtimeapiset.h）函数66A.1 完整的对策代码来自我们的 第一个贡献。.....................................................................95B.1完整的Yara规则用于创建规避恶意软件数据集。........................................................105C.1 启动恶意软件和监视的完整脚本代码。示例中启动的程序是记事本。.....................109C.2 监控脚本的完整代码.........................................................................................................109ProloGUE引言1台式机和笔记本电脑占移动设备的39.13%根据NetMarketShare 1的数据，世界上最大的卷轴其中1个：https://netmarketshare.com/devWindows，其第一个版本可以追溯到1985年，是迄今为止的系统冰-市场-份额d’exploitation https://netmarketshare.com/ope因此，从逻辑上讲，该系统是恶意软件的首选目标，rating-system-market-share.aspxAV-TEST研究机构拥有的所有恶意软件的93%https://portal.av-atlas.org/ma他们注定要这样做。自2008年以来，每年发现的恶意软件数量几乎一直在增加。例如，在那一年，发现了7，333，179个新的Windows恶意软件。lware根据AV-TEST4，2021年为101，251，777人。4：https://portal.av-atlas.org/ma软件/统计防病毒软件的发明是为了检测和阻止恶意软件和这不仅可以保护个人计算机，还可以保护服务器。它们的存在促使恶意软件实施不同的技术来避免检测。当然，防病毒软件通过适应和发明新的检测方法来应对这一点。这场斗争使双方变得越来越复杂，直到我们今天所知道的软件和恶意软件。1.1 攻击者和防御者第一个可以被认为是计算机蠕虫是1971年发布的爬行者[4]。这是一个 程序 [ 4 ]：S ut he r la n d et al.（1974）《自然》一个以PDP-10大型机为目标的实验，展示了通过该软件的第一个版本只能从一个TENEX系统迁移到另一个TENEX系统，但第二个版本增加了自我复制的可能性爬行者是由一个名为收割者的程序对抗的，该程序也会在网络中扫描，一旦在系统上遇到蠕虫就将其删除C’est与计算机通信。第三卷。BBN的分布式计算研究5：https://en.wikipedia.org/wiki/Creeper_（程序）这不是来自麋鹿克隆人是一个6：https://en.wikipedia.org/wiki/一种使用逻辑炸弹的程序，在运行该程序的Apple II计算机的屏幕上显示消息之前，该程序会等待执行它的作者创建它的目的是通过将病毒附加到他在软盘上分发的游戏中来给他的高中同学开玩笑当时的操作系统摆脱恶意软件的解决方案是使用像苹果的MASTERCREATE这样的工具重写一个新的磁盘。Elk_克隆人4 1引言7：https://encyclopedia.kaspersky磁盘上的操作系统（DOS）。目前还没有防病毒软件L’année 这些主要基于对称为签名的二进制序列的搜索，这些二进制序列特定于特定的恶意软件一些恶意软件试图通过加密其内容来.fr/knowledge/year-1987/解密，对其内容应用异或8。1988年，喀斯喀特8：https://harrisonwl.github.io/assets/course/malware/spring2017/幻灯片/决赛周/cryptedOligomorphic.pdf9：https://encyclopedia.kaspersky.fr/知识/年份-1987年10：https://userpages.umbc.edu/~dg它感染了IBM总部的计算机这种加密技术后来通过在恶意软件的每个副本之间随机改变解密例程而得到改进C’est le cas par exemple du malware polymorphe 1260 écrit en1990 qui ajoute 对比度orin1/432/example_decryptor.htm级联病毒，其解密代码保持不变，可以因此，为了通过签名扫描进行检测，1260获得了一个不断变化的加密例程，这要归功于"垃圾代码"的添加，这使得防病毒软件更难检测到L’analyse par signature n’est donc plus assez efficace et les antivirusdoivent11：https://encyclopedia.kaspersky恶意软件11. 然而，多态恶意软件的主体在解密后.fr/knowledge/year-1990ment在每次迭代中保持不变，这为[5] ：你好和艾尔。（2010），恶意软件防病毒检测它通过签名在这个时候[5].混淆技术：简介调查变形恶意软件然后出现，以弥补这一点，并它们能够通过在每次迭代中更改代码来重新编程。例如，这些更改可以是寄存器重命名、代码交换或添加垃圾代码。因此，程序的语义始终保持不变，尽管它具有不同的代码和签名第一个使用此过程的变形恶意软件是Win95/Regswap。12：https://arxiv.org/pdf/1406.7061.pdf13：https://www.kaspersky.com/ente/ 维基部分/产品/沙盒1998年12.沙盒和模拟器出现在防病毒软件中，用于在恶意软件运行时对其进行分析。因此，在每次执行时总是执行相同行为的恶意软件在触发恶意行为之前开始观察其运行因此，能够检测分析环境的恶意软件可以避免表现出恶意行为，以避免检测并延长其生存期。1.2 贡献如果软件符合定义1.2.1，则将其指定为规避性软件规避性恶意软件是具有恶意目的的规避性软件。1.2贡献51.2.1规避性软件是一种程序，设计用于在特定环境中改变其行为。本文的第一个贡献是评估规避技术的有效性为此，我们创建了Nuky，这是一个可配置的规避勒索软件，我们在防病毒软件的存在下运行。我们注意到，Nuky确实能够使用基本的规避技术检测和我们的第二个贡献将涉及我们创建的对策，以阻止一些规避性恶意软件的操作。 在物理机器上，同时确保合法软件的正常运行。此对策旨在通过增加少量开销来最大限度地减少对主机系统的影响。我们将介绍如何评估此对策，以及为什么我们创建了一个公开共享的规避性恶意软件数据集。最后，我们希望提供一个规避性的恶意软件包，使该领域的研究人员能够简单地评估他们的实验。为此，我们的目标是通过引入尽可能少的偏差来构建该数据集。我们要构建的数据集必须由已知可规避的恶意软件组成，并且这是高度自信的。数据集的构建方式必须是透明的，以便其他研究人员能够批评它并加以改进。促进协作可以研究人员还必须能够通过给出哈希列表或给出用于创建数据集的标准列表，从文章中提供的信息重建数据集我们首先在第2章中描述了然后，我们将在第4章中详细介绍如何构建规避性反恶意软件对策。最后，我们构建了一个规避恶意软件数据集，我们在第5章中描述了这个数据集，然后在第6章中结束了这个论文。规避技术规避检测规避分类规避对策窃取分析混淆技术恶意软件智能最新技术水平22.1不同的研究课题72.2突破技巧2.3恶意软件数据集现有漏洞19FIGU rE 2.1-圣经的可视化-图形。该最新技术水平基于参考书目，可图2.1显示了参考书目的可视化，其中每个项目都是参考文献。每个点的面积与引用它们的参考文献的数量成正比，并且根据研究主题与颜色相关联。交互式版本允许通过显示点之间的链接来可视化参考文献之间的引用还提供了参考书目中每个参考文献的摘要。本章首先介绍最新技术水平下的研究领域然后在第二部分描述了逃脱技术及其多年来的L’étude de certaines de ces techniques d’évasion nous apermis de créer une contre-mesure présentée dans le Chapitre最后，我们将讨论不同文章中介绍的恶意软件数据集的构造，以及我们在第5章中介绍的创建规避性恶意软件数据集的原因。2.1不同的研究所使用的参考书目包含80篇参考文献，根据其研究主题分为每一个参考文献都与一个单一的主题有关，尽管有些涉及几个主题。例如，介绍隐形扫描工具的文章由于这些文章的主要主题是隐形分析，我们只将它们链接到这一类别。在本节中，我们将简要介绍与规避性恶意软件相关的六个研究主题。F IGU r E 2.2-访问交互式双书目的链接：https：//tempo。irisa.fr/visualization/dots200020012002200320042005200620072008200920102011201220132014201520162017201820192020