رافاذب - ferdowsi university of mashhadfumblog.um.ac.ir/gallery/429/fum apa-malware analysis...
TRANSCRIPT
2012 Malware 2
فهرست مطالة
مذ-1
ااع تذافضاسا -2
ىایض ای اتـاس تذافضاسا -3
سؽ ای آد ػاصی فای ا-4
تىیه ای تذا دس تـخیق تذافضاسا -5
تذافضاساػیش تىای -6
2012 Malware 3
مقذمه
ثذافسار چیست؟
ی دػتساتی اػت و تـى اص جػ( ش افضاس تذخا)یه تذافضاس
ای اجشا ؿذ ظایف خشتی سا و تذافضاس یغ تش سی ػیؼت سایا
.دس آ تؼثی وشد اػت، اجا ی دذ
2012 Malware 4
)...(مقذمه
:ااع ػولیبت هخرة
o ػشلت اعالػات
o دػتىاسی حتیات ػیؼت
o (ؿىؼت ػیؼت، وشد )واؾ پایذاسی ػیؼت...
o ذس داد اتغ ػیؼت
o تغییش خشب دس ػىشد احذای ػیاتی
2012 Malware 5
مقذمه
:یالدی اص آتی یشع وؼپشػىی 2012آاس دلیك آدی ای تذافضاسی دس ا ج
2012 Malware 6
مقذمه
:یالدی اص آتی یشع وؼپشػىی 2012آاس دلیك آدی ای تذافضاسی دس ا ج
2012 Malware 7
مقذمه
:یالدی اص آتی یشع وؼپشػىی 2012آاس دلیك آدی ای تذافضاسی دس ا ج
2012 Malware 8
انواع بذافسارها
انواع تذافسارها-2
:ااع ثذافسارب
یشع
وش
تشجا
جاػع افضاس
تذافضاس دسب پـتی
تذافضاس صسیش
RootKit
تثیغ افضاس
تات ت
2012 Malware 10
(ویروس)انواع تذافسارها -2
Win32.Sality.bh: یرس
وذدیش سا آد ی ػا تشا ای ؼتذ و ای تذخای تشا.
ت ساحتی اص خدؿا وپی ایجاد ی وذ.
چؼثاذاغة یشع ا خدؿا سا ت فای ای اجشایی ی.
ؼتذتشای اجشا ؼال یاصذ ذاخ اؼا
اذف یشع ا یشا وشد فای ا فر ت دس فای
.تشا ا اػت
2012 Malware 11
(ویروس)انواع تذافسارها -2
حیظ ای ختف فؼایت تذافضاسا
2012 Malware 12
(ویروس)انواع تذافسارها -2
Program Virus { "Signature"; Procedure infect { loop: exec:=select random writable executable file; if (first line of exec = "Signature") then goto loop; else prepend Virus to exec; } Procedure damage { Code to do the actual damage } Boolean Procedure trigger { Code to check trigger condition } Main program { infect; if (trigger) then damage; goto continue; } continue: } 2012 Malware 13
(کرم)انواع تذافسارها -2
Win32.StuxNet ،Win32.Morris: کرم
ای تحت ؿثى ؼتذ، اػاع واس آ ا تیذ وپی اص خد پخؾ یشع
.اص عشیك ؿثى اػت
اص عشیك حفش ای ایتی جد دس ػیؼت ػا دیاس آتـی، ؼال
.وذتشای اتما اص سایا ای ت سایا ی دیش اػتفاد ی
وش ا ت كست خدواس دس ػیؼت یضتا اجشا ی ؿذ تشای ایجاد وپی
یؼتذاص خدؿا یض یاصذ ذاخ اؼا
فر ت ػیؼت ایی تا : اػتاوغ ت یه وش پیـشفتIP خافای 2012 Malware 14
(تروجان)انواع تذافسارها -2
Win32.AutoRun.gen: ترجبى
تشا ای خشتی ؼتذ و دس ظاش یه تشا ی لای، اػا خشتی سا
.دذتش سی ػیؼت ای سایا ای اجا ی
تىاسیشی تشخی لاتیت ای فیذ، واستشا سا ػالل ذ ت اجشای تشا ی تا
.وذ
2012 Malware 15
(تروجان)انواع تذافسارها -2
:ترجبى
تاؿذت د ع ی:
o تشا ای و كذدسكذ تذ ی وذ آ، وذ تذخا شتط ت تشجا اػت.
o تشا ای و تا افضد چذ ػىشد اضافی تذخاا ت تشا ی لای، ایجاد
(.تاص-ػیؼت ای وذ)ؿذ اػت
وذخدؿا سا تىثیش ی.
تىیه تذافضاسای دسب پـتی، تشای سد ت ػیؼت یضتا وتش آ اص
.ی وذاػتفاد
2012 Malware 16
(جاسوس افسار)انواع تذافسارها -2
Win32.KeySpy: جبسس افسار
تش سی سایا ی یضتا لة ؿذ تذ اعالع واستش، ت شدآسی اعالػات
.پشداصدآ ی
وذاعالػات سا ت عس خفیا ای ت ػاصذ ی تذافضاس اسػا ی.
keyLogger
2012 Malware 17
(تذافسار درب پشتی)انواع تذافسارها -2
Win32.StuxNet: ثذافسار درة پشتی
اتضاسی اػت و تذافضاسیؼا تشای ایجاد دػتشػی سا دس ت ػیؼت
.وذیضتا، اص آ اػتفاد ی
تاص وشد دسا ای ؿثى تا اذاف غیش لای
ایجاد استثاط غیش لای تشای ىش، اص عشیك دسا ای ایجاد ؿذ
2012 Malware 18
(تذافسار زورگیر)انواع تذافسارها -2
:ثذافسار زرگیر
اغة ت كست یشع یاب ای لالتی ظاش ؿذ تػظ واستشا تش سی
.ؿذػیؼت یضتا لة ی
یه ظاشػاصی، فای ای واستشا سا تشسػی وشد پیغای سا ثی تش تا
.دذآد تد سایا ت ااع تذافضاسا، ایؾ ی
ایجاد تشع دس واستشا اخاری اص آ ا
داسای ساتظ واستشی تؼیاس جزاب حشف ای
خؼاست صد ت ػیؼت یضتا ا حزف
2012 Malware 19
(RootKit)انواع تذافسارها -2
RootKit:
داسای لاتیت پا ػاصی اعالػات ـخلی دستاس ی تذافضاس:
o پا ػاصی فای
oپا ػاصی فشآیذ
o پا ػاصی ویذی خاف دس سجیؼتشی...
دس ػغح ختف ػیؼت ػا پیاد ػاصی ی شدد.
o تا تضسیك وذ ت فشاخای ایAPI ای ختف ػیؼت دس ػغح واستش
o لشاس داد یه اػظ تی ػاختاسای ػیؼت ػا واستش
دس لاة اط ؼت •
دس لاة سا اذاص ػخت افضاس •
2012 Malware 20
(تثلیغ افسار)تذافسارها انواع -2
:تجلیغ افسار
جغ آسی اعالػاتی خاف دس سد ػالیك واستشا دس ب شدی اسػا
اعالػات ت یه ؿشوت خاف، دس جت وؼة دسآذ
ت خدی خد تذخا یؼتذ، دس تیج تػظ حلالت ضذ تذافضاسی ت
.ػختی ؿاػایی ی ؿذ
ت كست یه تشا ی واستشی و حج دس لاة یه پجش یpop-up تش
.سی ػیؼت یضتا لة ی ؿذ
تذ اجاص ی واستش لة ی ؿذ
تیذ آ ا غیش لای اػت
2012 Malware 21
(تات نت)تذافسارها انواع -2
oثبت :Win32.ZeusBot
خفف و ستات ی تاؿذ
ؿذ آ سد تلشف لة پیـشفت اػت، و دس یضتا تذافضاس یه
.تثذی ی وذتات یا صاثی یضتا سا ت
واستش ػیؼت صاثی اص جد تات تی خثش اػت.
oثبت ت:
ا اػت و عثك تپطی سدظش ذیش تات یه ش ا اص تات
تل ؿذ ای ت . اص تات ا سا تـىی ی دذؿثى
ای فشا وتش ذایت ی ؿذ . اص عشیك واا
ذیش تات فشدی اػت و تات ت سا اص عشیك فشای خد وتش ی وذ.
2012 Malware 22
(تات نت)تذافسارها انواع -2
چرخه حیات تات نت ها
بازسازی حمله فرمان و کنترل آلودگی
2012 Malware 23
(تات نت)تذافسارها انواع -2
oشح آدی ؿا ػ تخؾ اتـاس، احاق ػاخت تپطی اػت.
o اج، تشا تات سا ت ػی تىیه ای اتـاس، پشاوذ ی وذ تا اػتفاد اص
ػیاػت ای احاق ػاخت تپطی، تات ت سا عسی ؿى ی دذ تا یاص ای
.خد سا تشآسد ػاصد
انتشار
الحاق
ساخت توپولوژی
2012 Malware 24
(تات نت)تذافسارها انواع -2
oاتـاس:
تات خد سا تـش وذ .تىیه ا ػیاػت ایی اػت و تػظ آ اج تشا
2012 Malware 25
(تات نت)تذافسارها انواع -2
o فرهبى کترل(C&C:)
تشی یظی تات ت ا ؼثت ت ػایش تذافضاسا اػت.
ذیش تات سا لادس ی ػاصد تا تات ت سا تا فشای خد وتش ایذ.
یه دسب پـتی دس ػیؼت صاثی سا اذاصی ی وذ.
o تقسین ثذی ثبت ت ثر اسبس سبختبر فرهبى کترل(C&C:)
IRC Botnet, HTTP Botnet: تشوض •
P2P Botnet: غیشتشوض •
HTTP2P Botnet: تشویثی •
2012 Malware 26
(تات نت)تذافسارها انواع -2
oZEUS 2007یک ثبت زذ از سبل:
2012 Malware 27
مکانیسم های انتشار بذافسارها
مکانیسم های انتشار تذافسارها-3
سػا ای رخیش ػاصی ؼ
2012 Malware 29
مکانیسم های انتشار تذافسارها-3
پؿ ای اؿتشاوی
2012 Malware 30
مکانیسم های انتشار تذافسارها-3
خظ-ػیؼت ای فتی تش
YAHOO Messenger
MSN Messenger
AOL
OOVOO
. . .
2012 Malware 31
مکانیسم های انتشار تذافسارها-3
پخؾ ایی ای خشب
2012 Malware 32
مکانیسم های انتشار تذافسارها-3
حلالت ضذتذافضاسی جؼی
2012 Malware 33
مکانیسم های انتشار تذافسارها-3
اس اتضاسای خشب
2012 Malware 34
مکانیسم های انتشار تذافسارها-3
Adware
2012 Malware 35
مکانیسم های انتشار تذافسارها-3
ویه ستایی دس كفحات شسش
2012 Malware 36
مکانیسم های انتشار تذافسارها-3
ؿثى ای اجتاػی جاصی
MySpace
. . .
2012 Malware 37
مکانیسم های انتشار تذافسارها-3
كفحات جؼی
2012 Malware 38
مکانیسم های انتشار تذافسارها-3
ػیؼت ای ت اؿتشان زاسی فای
2012 Malware 39
روش های آلوده سازی فایل ها
روش های آلوده سازی فایل ها-4
تغییر کلی ثبیری سبلن ث ثبیری ثذخا
2012 Malware 41
روش های آلوده سازی فایل ها-4
افسدى کذ ثذخا ث قط ی رد اجرای ثبیری ثربه ی سبلن
2012 Malware 42
روش های آلوده سازی فایل ها-4
الحبق کذ ثذخا ث ثبیری ثربه ی سبلن تغییر آدرس فراخای ثبزگشت تبثغ اصلی
2012 Malware 43
روش های آلوده سازی فایل ها-4
افسدى کذ ثذخا ث الث الی کذ ثبیری ثربه ی سبلن
2012 Malware 44
تکنیک های متذاول در تشخیص
بذافسارها
تکنیک های متذاول در تشخیص تذافسارها-5
:ث د دست ی اصلی تقسین ثذی هی شذ( 1)
ثتی تش اعالػات ایؼتای تایشی تذافضاسا
o سؽ تـخیق تغثیك اضاء
o سؽ تحی اوتـافی ثتی تش آاس وذ
ثتی تش اعالػات پیای سفتاس تذافضاسا
o سؽ تحی اوتـافی ثتی تش سفتاس
o سؽ تحی سفتاسی ثتی تش اجشا دس حیظ ظشف ؿ
2012 Malware 46
(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5
تیذ ثثت وارب فی وارب ) ی دلت تاال دسج( 1: )یظی ای یه حل ضذ تذافضاسی
تـخیق دس وتاتشی صا( 2( )پایی
(:تریي تکیک تشخیص اصلی)تشخیص هجتی ثر تطجیق اهضبء ( 1)
اضای ثتی تش تاتغ دس ػاص(MD5 , SHA-1)
"I am a malware" MD5= "25C207665124B61C7649BD227564F946" SHA-1="43FAD2E22816A45F2451F8E5476A377A0F14FEBE"
"I am a Malware" MD5= "89A10736C2936F93633B08596FF0F2BB" SHA-1="FC7087D21A66A4A9A8FD757E7CBD630246843641"
2012 Malware 47
(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5
اضای یشع (: پشواستشد تشی)اضای تایتStoned:
2012 Malware 48
(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5
oهسایب:
(یا شتض 2.4دلیم تا پشداسذ 20فای دس 500000تشسػی )ػشػت تاال
(ثثت وارب فی وارب پایی) دلت تـخیق تاال
oهؼبیت:
ػذ تـخیق ای جذیذ
حج تاالی اضاء ا
یاص ت تشصسػای ىشس
2012 Malware 49
(تطثیق امضاء)تذافسارها تکنیک های متذاول در تشخیص -5
o 1391/03/31هیساى اهضببی افسد شذ ث پبیگب داد ی اهضبء ضذ ثذافسار کسپرسکی در تبریخ:
2012 Malware 50
(تحلیل اکتشافی)تذافسارها تکنیک های متذاول در تشخیص -5
:تشخیص هجتی ثر تحلیل اکتشبفی( 2)
ؿاػایی ای جذیذ: ذف
ت د كست ایؼتا پیا اجا ی یشد
تش پای ی یضا تـات خلكیات سفتاسی آاسی واس ی وذ.
oهسایب:
ؿاػایی ای جذیذ
ػذ یاص ت پایا داد حجی اص اضاء ا
ػذ یاص ت تشص سػای ىشس
oهؼبیت:
ـى دس تؼشیف حات ای جاس اجاس یه ػیؼت
سؿی ؼثتا وذ
شخ ثثت وارب فی وارب تاال
2012 Malware 51
(مثتنی تر تغییرات)تذافسارها تکنیک های متذاول در تشخیص -5
:تشخیص هجتی ثر تغییرات( 3)
ؿاػایی ای لثی جذیذ: ذف
خظ ػیؼت-ظاست تش
ی ػیؼت واس ی وذ ی اتغ تغییش یافت تش پای.
ظاست ت كست دس ای اجا ی یشد.
oهسایب:
ؿاػایی ای جذیذ
ػذ یاص ت پایا داد حجی اص اضاء ا
ػذ یاص ت تشصسػای ىشس
oهؼبیت:
ـى دس تفىیه ػیات تغییش لای اص غیش لای
ػشتاس صیاد تش سی ػیؼت
شخ ثثت وارب فی وارب تاال
2012 Malware 52
سیر تکاملی بذافسارها
(تذافسارهای رمسنگاری شذه)تذافسارها سیر تکاملی -6
ثذافساربی رهسگبری شذ( 1)
سضـایی وذ اػثی تا ویذای تفات دس تیذ ش ؼ جذیذ دستیج تیذ /سضاسی
ای ختف تا اضای تفات
oهسایب:
لاتیت تغییش اضای تخؾ تذخا وذ
جد ویذای اتای
oهؼبیت:
سضـا تـخیق تا اػتفاد اص اضای ای تخؾ/ی وذ ستی سضاس ثاتت اذ تذ
لات تـخیق تػظ تىیه تحی اوتـافی دس حلالت ضذ تذافضاسی
ـاییلات تـخیق ا سض
o و ثذافساربی رهسگبری شذ هشر :CasCade , Memorial
2012 Malware 54
(تذافسارهای رمسنگاری شذه)تذافسارها سیر تکاملی -6
:CasCadeرتیي رهسگشبی یرس : شذرهسگبری ثذافساربی ( 1)
lea si, Start ; position to decrypt (dynamically set) mov sp, 0682 ; length of encrypted body (1666 bytes) Decrypt: xor [si],si ; decryption key/counter 1 xor [si],sp ; decryption key/counter 2 inc si ; increment one counter dec sp ; decrement the other jnz Decrypt ; loop until all bytes are decrypted Start: ; Encrypted/Decrypted Virus Body
Virus program and host
file (plaintext)
Decrypt
routine
Header
Header #$%&^!#%@SF{
2012 Malware 55
(تذافسارهای چنذ ریخت)تذافسارها سیر تکاملی -6
ثذافساربی چذ ریخت( 2)
دس جت جثشا ضؼف تذافضاسای سضاسی ؿذ غشح ؿذذ
سضـا/اػتفاد اص د تىیه ث ػاصی ػاد دس ستی سضاس
اػتفاد اص ویذای تشویثی
oهسایب:
تـخیق ـى تا تغثیك اضاء
ضایای تذافضاسای سضاسی ؿذ
oهؼبیت:
لات تـخیق تػظ تىیه تحی اوتـافی دس حلالت ضذ تذافضاسی
اىا تـخیق اضاء ا سضـایی وذ تذخا
رمزگشا/روتین رمزنگا بخش کذ بذخواه
2012 Malware 56
(تذافسارهای چنذ ریخت)تذافسارها سیر تکاملی -6
چذ ریخت ثذافساربی( 2)
o 1260یشع : هشر چذریخت و ثذافساربی ،VIENNA ،WHALE ،CHAMELEON
o هشر چذریختی و هتربی :MtE ،TpE ،NeD
o هشر اثساربی چذریختی و :VCL ،DS-MPC ،C2^2
2012 Malware 57
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
ثذافساربی دگردیس( 3)
دس جت جثشا ضؼف تذافضاسای سضاسی ؿذ چذ سیخت غشح ؿذ اذ
تذافضاسی وذ اػتفاد اص تىیه ث ػاصی ایجاد جؾ دس و تذ
پای تذافضاسؼ ای جؾ یافت اص ایجاد تذافضاسػىشد دس ث ػاصی تذ تغییش
بخش کذ بذخواه موتور دگردیسی
o هشر دگردیس و ثذافساربی :Z0mbie ،BADBOY ،Evol ،ZMIST ،METAPHOR
o هشر هتربی دگردیسی و :TMC ،ZCME ،RPME
o هشر اثساربی دگردیسی و :NGVCK ،VCL32 ،G2 ،MPCGN
2012 Malware 58
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
ثذافساربی دگردیس( 3)
ح ػولکرد هتر دگردیسی از جج تئری
oىای یاتی تخـی اص وذ و اػتؼذاد ث ػاصی داسد.
oسضـایی لای ساىاسای ث ػاصی
oتحی چی اجا ساىاسای ث ػاصی
oایجاد جؾ تش عثك لای ث ػاصی تحی اجا ؿذ
oاتما ؼ جؾ یافت ت ػیؼت ذف
2012 Malware 59
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
ثذافساربی دگردیس( 3)
ح ػولکرد هتر دگردیسی ثر طجق ظر ثذافسار یسبى
2012 Malware 60
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
افسدى کذبی ثی اثر( 1)
تضسیك وذای تی اثش ت تذ ی وذ تذافضاس پای
ای تفات تشای شتا جایـتی تلادفی تا احتا
.ؿذی وذ تذافضاس پای افضد یتذ ت دػتس،
سیىشدی واال تلادفی داسد.
ی ؿذدشدیؼی تؼثی تسای دس ػ ع دس:
o اآتشتیة اجشای دػتسات دػتسات تی اثشی و
(تا جایـت ای تلادفی افضد ی ؿذ)تاؿذ ی
o ا تشتیة اجشای دػتسات آدػتسات تی اثشی و
.ی تاؿذ
oدػتسات یض ؿاس
mov eax,[esi]
cmp eax, ecx
jnz L0123
mov eax,[esi]
push edx
rol edx, 16
jmp L1234
mov [ebx], 12h
L1234: ror eax, 16
pop edx
cmp eax, ecx
jnz L0123
xchg ax.bx
pusha
sbb eax,0
xchg bx,ax
popa
. . .
2012 Malware 61
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
تؼیض بم ثجبت ب( 2)
تاثیش اچیض دس تغییش اضاء تایشی
تاثیش ثش دس ضذ تحی وشد وذ
Win95/RegSwap
5A pop edx
BF04000000 mov edi , 0004h
8BF5 mov esi , ebp
B80C000000 mov eax , 000Ch
81C288000000 add edx , 0088h
8B1A mov ebx , [ edx ]
899C8618110000 mov [ esi + eax * 4 + 00001116] , ebx
58 pop eax
BB04000000 mov ebx , 0004h
8BD5 mov edx , ebp
BF0C000000 mov edi , 000Ch
81C088000000 add eax , 0088h
8B30 mov esi , [ eax ]
89B4BA18110000 mov [ edx + edi * 4 + 00001116] , esi
2012 Malware 62
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
جبیگشت کذ( 3)
تشای ایجاد تغییش دس جشیا وتشی وذ تذافضاس
چی تغییش دس اضای آ، ی تا تشتیة لشاس یشی
.دػتسات سا دس تذ ی وذ تذافضاس تغییش داد
سیىشدی واال تلادفی داسد.
2012 Malware 63
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
ایجبد زیررال از کذ فراخای آى( 4)
اص یه تن دػتسات اػثی دس وذ تذافضاس، یه صیشسا ایجاد ؿذ ت جای آ،
.دػتس فشاخای صیشسا لشاس ی یشد
واال تلادفی ػاصی ؿذ اػت.
ث ػاصی شاف فشاخای تاتغ
…
push eax
push offset fsearch
pop eax
test ebx,80000000h
inc edx
…
…
push eax
call L0123
inc edx
. . .
L0123:
push offset fsearch
pop eax
test ebx,80000000h
ret
…
2012 Malware 64
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
جبیگسیی دستر فراخای زیر رال ثب کذ ثذ زیر رال( 5)
وذكست تلادفی تؼذادی اص دػتسات صیشا ا سا تا تذ ی وذ شتع ؿا جایضی ی ت.
ث ػاصی شاف فشاخای تاتغ
…
Call S1
Call S2
…
S1: mov eax, ebx
add eax, 12h
push eax
ret
S2: mul ecx
mov edx, eax
ret
…
mov eax, ebx
add eax, 12h
push eax
mul ecx
mov edx, eax
…
2012 Malware 65
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
جبیگسیی دسترات ن ارز( 6)
اػتاسای تىیه اص سؽ ای ث ػاصی تش ای اك
.اػت و یه ػ ی تاذ ت عشق ختفی اجا تیشد
جایضییجایضیی یه دػتس تا چذ دػتس اسص یا
چذ دػتس تا یه دػتس اسص
اسصدس ت واس تشد دػتسات دلت
دػتسات اسص ثتی تش ػیات غمی( 1)
دػتسات اسص ثتی تش جشیا داد( 2)
دػتسات اسص ثتی تش ػیات پـت ای( 3)
دػتاست اسص ثتی تش ػیات پشؽ( 4)
) (
push RR(Random Register)
mov RR, R2
mov R2, R1
mov R1, RR
pop RR
xchg R1,R2
jae new_target
jmp target
new_target:
jc target
2012 Malware 66
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
ارز جبیگسیی دسترات ن ( 6)
PUSH OP1
-------------------------
OP1: Operand (1)
RR1: Random Register (1)
RR2: Random Register (2)
---------------------------
PUSH RR1
FILD DWORD PTR DS: [ESP]
POP RR1
PUSH RR2
FILD DOWRD PTR DS: [ESP]
POP RR2
MOV RR1, 03
NOT ESP
NOT RR1
MOV RR2, ESP
NOT RR2
LEA RR1, DWORD PTR DS: [RR2+RR1]
MOV ESP, RR1
MOV DWORD PTR DS: [ESP]
SUB ESP, 4
FISTP DWORD PTR DS: [ESP]
POP RR2
SUB ESP, 4
FISTP DWORD PTR DS: [ESP]
POP RR1
2012 Malware 67
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
ارز جبیگسیی دسترات ن ( 6)
XOR OP1,OP2
------------------------
OP1: Operand (1)
OP2: Operand (2)
RR1: Random Register (1)
RR2: Random Register (2)
----------------------------------
PUSH RR1
PUSH RR2
MOV RR1, OP1
MOV RR2, OP2
NOT RR1
OR RR1, OP1
PUSH RR1
NOT RR2
MOV RR1, OP1
NOT RR1
OR RR1, RR2
POP RR2
AND RR2, RR1
PUSH RR2
MOV RR1, OP1
MOV RR2, OP2
OR RR1, RR2
PUSH RR1
NOT RR2
MOV RR1, OP2
OR RR1, RR2
POP RR2
AND RR2, RR1
POP RR1
AND RR1, RR2
MOV OP1, RR1
POP RR2
POP RR1
2012 Malware 68
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
گسار بی هجن سبز( 7)
دػتساؼ ای ؿشعیاص توی ، تا تىاسیشی ث ػاصیای ساىاس
ا اص لث ـخق اػت، اجا ی ؿد .و تیج ی آ
ای تفات اص وذ تا ؿشط ای تفات اجا ت ی یشدكست تلادفی دس ىا
پیاد ػاصی دسختی آ ت كست ؿشط ای ت دس ت، جة افضایؾ ایی پیچیذی
.جشیا وتشی وذ ی ؿد
ػاصیث تىاسیشی تشویثی ساىاس ضاس ای ث ػاص ساىاس دػتسات اسص جة
.وذ ی شددؼیش اجشای ایؼتا پیای
2012 Malware 69
(تذافسارهای دگردیس)تذافسارها سیر تکاملی -6
:راکبربی هجن سبزی کذ◄
گسار بی هجن سبز( 7)
if ( x*x>= 0 )
{
ب میش ر م ش }
else
{
ب یچ گ ه ر م ش }
add eax,04d
mov byte ptr [eax],00
push offset VirusFile
push offset OriginFile
call lstrcpyA
and edx,ecx
add eax,04d
mov byte ptr [eax],00
push eax
pushf
mul eax, eax
cmp eax, 0
jge L0123
L0123:
popf
pop eax
push offset VirusFile
push offset OriginFile
call lstrcpyA
and edx,ecx
خ ر ی ب ت ق
fstp ST(0)
fld ST(0)
fucomip ST,ST(2)
fstp ST(0)
mov eax,[ebp-04h]
fxch ST(2)
2012 Malware 70
(تذافسارهای حساس ته محرک)سیر تکاملی تذافسارها -6
ثذافساربی حسبس ث هحرک( 4)
حؼاع ت حشن ای صای
oفؼا ؿذ دس یه صا خاف
oفؼا تد دس یه تاص صای خاف
حؼاع ت ؿشایظ حیغی
oجد یه فای خاف تش سی ػیؼت ذف
oاتؼتی ت ع ػیؼت ػا دس ػیؼت ذف
o جد تشا ای خاف دس ػیؼت ذف
o . . .
حؼاع ت فشا ای ؿثى
o دسیافت یه داد ی خاف اص یه پست خاف
Win32.Blaster:
1: GetDateFormat(LOCALE_409,0,NULL, "d", day, sizeof(day));
2: GetDateFormat(LOCALE_409,0,NULL, "M", day, sizeof(month));
3: If (atoi(day) > 15 && atoi(month) >= 8)
4: run_ddos_attack();
Win32.rxBot: 0: //receive line from network --> store in array a[] 1: // a[0] = command, a[1] = arg1, a[2] = arg2, ... 2: 3: if (strcmp("crash", a[0]) == 0) { 4: strcmp(a[5],"crash"); //yes, this will crash. 5: return 1; 6: } 7: else if (strcmp("getcdkeys", a[0]) == 0) { 8: getcdkeys(sock, a[2], notice); 9: return 1; 10: } 11: else if (strcmp("driveinfo", a[0]) == 0){ 12: DriveInfo(sock, a[2], notice, a[1]); 13: return 1; 14: }
2012 Malware 71
(تذافسارهای حساس ته تحلیل)تذافسارها سیر تکاملی -6
تحلیلثذافساربی حسبس ث ( 5)
تحی پیا اغة تا اػتفاد اص اؿی ای جاصی یا ؿثی ػاصای ػخت افضاس
.اجا ی یشد
لاتیت ؿاػایی حیظ اؿی جاصی تػظ تذافضاسای حؼاع ت تحی
o (ؿفافیت پایی اؿی جاصی)تـخیق حیظ اؿی جاصی تا تىی تش تاي ای آ ا
o (ت دی پیچیذی تاالی ػخت افضاس)ؿثی ػاصی الق ػخت افضاس الؼی
خفی وشد سفتاس خشب تذافضاس ا اجشا تش سی حیظ اؿی جاصی
دس لاة لشف ای لشض پیاد ػاصی ؿذ دس تذافضاس تؼثی ی ؿذ.
2012 Malware 72
مراجع
o [1] Beaucamps, P., “Advanced Metamorphic Techniques in Computer Viruses”, International Conference on Computer, Electrical, and
Systems Science, and Engineering -CESSE'07, 2007.
o [2] Borello, J., Filiol, E., Mé, L., “From the design of a generic metamorphic engine to a black-box classification of antivirus detection
techniques”, Journal in Computer Virology, p278-287, 2010.
o [3] Desai, P., “A highly metamorphic virus generator, Int. J. Multimedia Intelligence and Security”, Vol.1, No.4, p402-427, 2010.
o [4] Desai, P., “Towards an Undetectable computer Virus”, Master’s thesis, Jose State University, 2008.
o [5] Govindaraju, S., “Practical Detection of Metamorphic Computer Viruses ”, Master’s thesis, Jose State University, 2008.
o [6] Govindaraju A., “Exhaustive Statistical Analysis for Detection of Metamorphic Malware”, Master’s thesis, Jose State University, 2010.
o [7] Lin, D., Stamp, M., “Hunting for undetectable metamorphic viruses”, Journal in Computer Virology , 2011.
o [8] Lin, D., “Hunting for Undetectable Metamorphic Viruses”, Master’s thesis, Jose State University, 2010.
o [9] Mishra, P., “A Taxonomy of Software Uniqueness Transformations”, Master’s thesis, Jose State University, 2003.
o [10 Patel, M., “Similarity Tests for Metamorphic Virus Detection”, Master’s thesis, Jose State University, 2011.
o [11] Venkatesan, A., “Code obfuscation and metamorphic virus detection”, Masters Thesis, San Jose State University, 2008.
o [12] Walenstein, B., Mathur, R., Chouchane, M., Chouchane, R., Lakhotia, A., “The design space of metamorphic malware”, In Proceedings
of the 2nd International Conference on Information Warfare, 2007.
o WANG, H., “Optimal Design of Self-Adaptive Anti-Virus Engine”, Optimal Design of Self-Adaptive Anti-Virus Engine 7:4, p 1294-1301,
2011.
o [13] Wong, W., Stamp, M., “Hunting for Metamorphic Engines”, Journal in Computer Virology, vol. 2, no. 3, pp. 211-229, 2006.
2012 Malware 73
Thank you for your attention
? "Security is a journey, not a destination"