HAL编号：Linux和物联网恶意软件的二进制分析

0HAL编号：tel-034171100https://theses.hal.science/tel-034171100提交日期：2021年11月5日0HAL是一个多学科开放获取档案，用于存储和传播科学研究文献，无论其是否已发表。这些文献可以来自法国或国外的教育和研究机构，也可以来自公共或私人研究中心。0HAL多学科开放获取档案，旨在存储和传播法国或国外教育和研究机构、公共或私人实验室发表或未发表的研究级科学文献。0Linux和物联网恶意软件的二进制分析0Emanuele Cozzi0引用此版本：0Emanuele Cozzi. Linux和物联网恶意软件的二进制分析. 密码学与安全性[cs.CR]. 索邦大学, 2020. 英文. �NNT:2020SORUS197�. �tel-03417110�0索邦大学博士学位论文，EURECOM0巴黎EDITE博士学院，专业：计算机、通信和电子技术0论文题目：Linux和物联网恶意软件的二进制分析0论文提交和答辩日期：2020年12月14日，Biot0主席：Aurélien Francillon教授，EURECOM0评审人：Christian Rossow教授，CISPA信息安全赫尔姆霍兹中心；LorenzoCavallaro教授，伦敦国王学院0考官：Martina Lindorfer教授，维也纳理工大学0Mariano Graziano博士，思科系统公司0Aurélien Francillon教授，EURECOM0导师：Davide Balzarotti教授，EURECOM0前言0时间飞逝。我仍然清楚地记得我决定加入S3小组的那一天，就像昨天一样。现在，我在这里完成我的博士学位，准备再次攀登楼梯。回首往事，我微笑了。我很高兴能够遇到优秀的人，我感到很幸运能够从优秀的研究人员那里学到东西，我成长了。0首先，我要深深感谢我的导师Davide，他引领我走过这段旅程，向我展示了一个优秀研究人员应该是什么样子。我非常感激整个S3小组。他们一直像一个大家庭，从第一个人到最后一个人，从一起度过美好的时光到我需要支持的时刻。我不打算列出名单，因为会太多，而且我肯定会漏掉一些人。在阅读这篇前言的S3或370办公室的朋友，感谢你们的支持，给予我的千万个微笑，讨论和交流思想，与我分享的所有知识。我要感谢我的父母Giusi和Maurizio，以及我的姐妹Serena和Laura，感谢他们无尽的支持。即使远在他乡，他们始终与我同在，鼓励我登顶，为我的成就感到骄傲。最后但并非最不重要的，特别感谢Fabiana，我人生旅程中的伴侣。十多年前，你抓住了我的头发，教会了我很多东西，我们一起成长，你加入了我的冒险。我永远无法用言语来感谢你。0简历0在过去的二十年中，安全社区一直在与基于Windows操作系统的恶意软件作斗争。然而，不断增长的互联嵌入式设备和物联网的革命正在迅速改变恶意软件的格局。恶意行为者没有坐以待毙，而是迅速采取行动创建了“Linux恶意软件”。通过这篇论文，我们进入了基于Linux的恶意软件世界，并突出了我们必须克服的问题，以进行正确的分析。在对Linux恶意软件分析的挑战进行系统性探索之后，我们提出了第一个专门设计用于研究这一新兴现象的恶意软件分析流水线的设计和实现。我们使用我们的平台分析了10万多个样本，并收集了统计数据和详细信息，这些数据和信息可以帮助指导未来的工作。然后，我们应用二进制代码相似性技术系统地重建了物联网恶意软件家族的谱系，并跟踪它们的关系、演化和变体。我们将我们的方法应用于在3.5年的时间范围内收集的数据集，并展示了源代码的自由可用性导致了大量的变体，这常常对系统的病毒分类产生影响。最后但最重要的是，我们解决了在静态链接的可执行文件分析中遇到的一个重要问题。具体而言，我们提出了一种新的方法来识别用户代码和第三方库之间的边界，以便可以安全地从二进制分析任务中删除库的负载。0摘要0在过去的二十年里，安全社区一直在与基于Windows操作系统的恶意程序作斗争。然而，越来越多的互联嵌入式设备和物联网革命正在迅速改变恶意软件的格局。恶意行为者没有袖手旁观，而是迅速采取行动，创建了“Linux恶意软件”，显示出对基于Linux的操作系统和运行不同于典型IntelCPU的平台的日益关注。因此，研究人员必须相应地做出反应，以适应最初设计用于分析Windows恶意软件的技术和工具链。虽然Linux恶意软件可以重用众所周知的模式和行为，但是对Linux和物联网二进制文件的二进制分析需要解决特定的新挑战。通过本论文，我们将进入基于Linux的恶意软件世界，并强调我们需要克服的问题以进行正确的分析。在系统地探索分析Linux恶意软件所涉及的挑战之后，我们提出了第一个针对研究这一新兴现象的恶意软件分析流程的设计和实现。我们使用我们的平台分析了超过10万个样本，并收集了详细的统计数据和见解，可以帮助指导未来的工作。然后，我们应用二进制代码相似性技术系统地重建物联网恶意软件家族的血统，并跟踪它们的关系、演化和变种。我们在一个为期3.5年的数据集上应用我们的方法，并展示了源代码的免费提供导致了大量的变种，经常影响到杀毒软件系统的分类。最后但并非最不重要的是，我们解决了在静态链接可执行文件分析中遇到的一个重要问题。特别是，我们提出了一种新的方法来识别用户代码和第三方库之间的边界，以便可以安全地从二进制分析任务中删除库的负担。23.5.2Persistence. . . . . . . . . . . . . . . . . . . . . . . . 353.5.3Deception . . . . . . . . . . . . . . . . . . . . . . . . .373.5.4Required Privileges . . . . . . . . . . . . . . . . . . . . 380目录01 引言 101.1 问题陈述 . . . . . . . . . . . . . . . . . . . . . . . . . 301.3 论文概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . 602.1 ELF文件格式 . . . . . . . . . . . . . . . . . . . . . . . . . 1002.3 恶意软件聚类和血统 . . . . . . . . . . . . . . . . . 1503 理解Linux恶意软件 2103.2 挑战 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.2.1 目标多样性 . . . . . . . . .. . . . . . . . . . . . 2303.2.3 分析环境 . . . . . . . . . . . . . . . . . . 2503.3 分析基础设施 . . . . . . . . . . . . . . . . . . . . . . 26 3.3.1 数据收集 . . . . . . . . . . . .. . . . . . . . . . 2703.3.3 静态分析 . . . . . . . . . . . . . . . . . . . . . . 2803.4 数据集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3003.5 底层 . . . . . . . . . . . . . . . . . . . . . . . . . 32iiii3.5.5Packing & Polymorphism . . . . . . . . . . . . . . . . 403.5.6Process Interaction . . . . . . . . . . . . . . . . . . . . 423.5.7Information Gathering . . . . . . . . . . . . . . . . . . 433.5.8Evasion . . . . . . . . . . . . . . . . . . . . . . . . . . 463.5.9Libraries . . . . . . . . . . . . . . . . . . . . . . . . . . 483.6Intra-family variety . . . . . . . . . . . . . . . . . . . . . . . . 493.7Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504The Tangled Genealogy of IoT Malware514.1Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524.1.1Why this Study Matters . . . . . . . . . . . . . . . . . 534.555.304.3 基于特征的聚类 . . . . . . . . . . . . . . . . . . . . . 5704.3.2 聚类 . . . . . . . . . . . . . . . . . . . . . . . . . 5904.4 物联网恶意软件谱系图提取 . . . . . . . . . . . . . . . 66 4.4.1 基于代码的聚类 . .. . . . . . . . . . . . . . . . 6604.4.3 二进制差异和符号传播 . . . . . . . . . . . . 6904.4.5 物联网恶意软件的系统发生树 . . . . . . . . . . . 7204.5.1 代码重用 . . . . . . . . . . . . . . . . . . . . . 7404.5.3 变体 . . . . . . . . . . . . . . . . . . . . . . . . . . 7704.7 结论 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8405.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9205.2.1 静态分析 . . . . . . . . . . . . . . . . . . . . . 9405.2.3 全局变量 . . . . . . . . . . . . . . . . . . . . . 9805.2.5 边界分类和选择 . . . . . . . . . . . . . . . . . 10005.3.2 用户代码识别 . . . . . . . . . . . . . . . . . 1036Conclusion and Future Work1136.1Future work . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1146.2Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Appendices117A French Summary119A.1Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120A.2 Comprendre les logiciels malveillants de Linux . . . . . . . . . 122A.2.1Analyse de l’infrastructure . . . . . . . . . . . . . . . . 124A.2.2 Sous le capot . . . . . . . . . . . . . . . . . . . . . . . 126A.3 L’enchevêtrement de la généalogie des logiciels malveillantsIoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128A.3.1Extraction du graphe de lignage des logiciels malveil-lants . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129A.3.2 Résultats. . . . . . . . . . . . . . . . . . . . . . . . . 131A.4 Identification du code utilisateur dans les binaires liés sta-tiquement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132A.4.1Analyse des limites de code . . . . . . . . . . . . . . . 133A.4.2Collection et classification des caractéristiques . . . . . 134A.5 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1350目录05.5 限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108List of Figures2.1Structure of an ELF file . . . . . . . . . . . . . . . . . . . . .123.1Overview of the analysis pipeline for Linux malware. . . . . . 264.1Number of samples in our dataset submitted to VirusTotalover time. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.2The workflow of our system. . . . . . . . . . . . . . . . . . . .674.3Lineage graph of MIPS samples colored by family.. . . . . .734.4Appearance of new variants over time. . . . . . . . . . . . . .784.5Lineage graph of Tsunami samples for ARM 32-bit. . . . . . .814.6Lineage graph of Gafgyt samples for ARM 32-bit. . . . . . . . 834.7Lineage graph for ARM 32-bit architecture colored by family.854.8Lineage graph for MIPS I architecture colored by family.. . 864.9Lineage graph for PowerPC architecture colored by family..874.10 Lineage graph for SPARC architecture colored by family.. . 884.11 Lineage graph for Hitachi SH architecture colored by family.894.12 Lineage graph for Motorola 68000 architecture colored byfamily. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905.1An overview of the steps to identify user code in staticallylinked binaries. . . . . . . . . . . . . . . . . . . . . . . . . . . 955.2Examples of adjacency matrices for three binaries.. . . . . .975.3Cumulative distribution of global variables accesses for tar 1.32 995.4Lineage graph of Tsunami samples for MIPS with BinCutextension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1095.5Lineage graph of Tsunami samples for MIPS without BinCutextension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110List of Tables2.1ELF Header structure . . . . . . . . . . . . . . . . . . . . . .113.1Distribution of the 10,548 downloaded samples across archi-tectures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313.2ELF Header Manipulation . . . . . . . . . . . . . . . . . . . . 323.3ELF samples that cannot be properly parsed by known tools330采用持久性策略的ELF二进制文件。。。。。。350重命名进程的ELF程序。。。。。。370出现权限错误或探测身份的ELF样本。。。。。。380用户/根分析之间的行为差异。。。。。。390ELF打包器。。。。。。410执行的前十个常见shell命令。。。。。。420恶意样本中前十个Proc文件系统访问。。。。。。440恶意样本中前十个Sysfs文件系统访问。。。。。。440恶意样本中对/ etc /的前十个访问。。。。。。450显示规避特征的ELF程序。。。。。。460导致沙箱检测的文件系统路径。。。。。。470动态链接可执行文件包含的前20个库路径。。。。。。490按体系结构分类的样本分布。。。。。。550我们数据集中前10个物联网恶意软件家族的分类。。。。。。570聚类结果：静态和动态特征。。。。。。610用于静态和动态聚类的特征列表。。。。。。620前10个恶意软件家族的常见函数。。。。。。740异常样本和AVClass标签列表。。。。。。750我们数据集中前10个家族的变体数量。恶意软件家族中包含了只有剥离样本，这阻止了任何准确的变体识别。。。。。。770用于分类的特征列表。。。。。。1010开源软件包数据集。。。。。。1030按软件包分组的启发式性能。函数和启发式性能是BinsNo.的平均值。。。。。。1040用户和库代码之间的切割错误。切割错误是切割点和实际边界之间的函数数量。。。。。。1050恶意软件数据集的分类报告5.5。。。。。。1060缩写列表0ABI  应用程序二进制接口0API  应用程序编程接口0APT  高级持续性威胁0AV  杀毒软件0C&C  命令与控制0CFG  控制流图0CGI  通用网关接口0CPU  中央处理器0CRT  C运行时0CVE  通用漏洞和披露0DB  数据库0DDoS  分布式拒绝服务0DNS  域名系统0ELF  可执行和可链接格式0GOT  全局偏移表0HNSW  分层可导航小世界图0IOC  威胁指标0IOT  物联网0MST  最小生成树0OS  操作系统0PCI  外围设备接口0PE  可移植可执行文件0PID  进程ID0RAT  远程访问木马0UPX  可执行文件的终极打包器0VT  VirusTotal