记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

围绕恶意文档可以得到什么

2017-09-02 00:45

作者:{rika}@ArkTeam

原文作者:
Stevens Le Blond, Cédric Gilbert, Utkarsh Upadhyay, Manuel Gomez Rodriguez

原文题目:A Broad View of the Ecosystem of Socially Engineered Exploit Documents

原文会议: Network & Distributed System Security Symposium, 2017

很多网络罪犯会将恶意代码嵌入合法文档,如pdfdoc等,再结合网络钓鱼等方式进行传播。利用文档在增加了攻击成功率的同时,也给了研究人员更多的分析素材。

在这篇文章中,作者从VirusTotalWUC获取了大量样本,针对与维吾尔、西藏、中东等地区相关的恶意文档,做了如下工作:

  • 提取嵌入其中的恶意代码和诱饵文件;
  • 对诱饵文件进行人工分析,得到攻击相关信息;
  • 用沙箱对恶意代码进行动态分析,判断所属的恶意家族;
  • 利用从VirusTotal获得的元数据,结合机器学习方法,对上传者的角色进行分析,推测是攻击者、受害者还是第三方。下文将对该项工作做详细描述。


图1 工作流示意图

VirusTotal是一个免费公开的可疑文件分析网站,受害者和研究人员都可以上传文件来确定其是否恶意,而很多攻击者则将其作为一个加密工具。VirusTotal的私有API在提供恶意样本下载的同时,也能提供一些信息,包括上传者的账号、IP、地理位置、上传时间、文件名、文件哈希等。

作者总结了两类特征,分别是用户具体特征(user specific features)和邻居特征(neighborhood features )。

1.用户具体特征

  • 上传恶意文件与上传总数的比例,攻击者将有较高的比例。
  • 攻击者经常把VirusTotal作为加密工具,所以可能上传哈希不同但名字相同的文件。
  • 对于攻击者,短时间内(几小时)连续上传的恶意文件的检测率会减小直到零。
  • 攻击者的文件上传时延接近零。

2.邻居特征

首先构造一个有向图,每个节点对应一个上传者,u上传的文件后来又被v上传,则从uv画一条有向边。

  • 出度、入度、LCC(本地聚类系数):攻击者会有较大的出度;LCC用无向图计算,用于识别广泛传播的攻击目标,由于缺少邻居,该类用户的LCC将很高。
  • 自我中心网络的出边和入边,邻居的入度和出度,可以用来分辨一个恶意文件从攻击者到受害者到研究人员的传递过程。
  • 邻居上传的恶意文件和所有文件的比例,包括均值、方差、最大最小值。

作者将提取出的特征与自己提出的角色推测算法(半监督轻量级推测算法)相结合,达到了80%的准确率。这样的方法可以减轻研究人员的手工工作量,更快找到数据集中的有趣用户。不过由于受害者和第三方用户很难区分,所以未来还需要提取更多的信息构造特征。


知识来源: www.arkteam.net/?p=2698

阅读:147543 | 评论:0 | 标签:ArkDemy 论文笔记

想收藏或者和大家分享这篇好文章→复制链接地址

“围绕恶意文档可以得到什么”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云