ОБНАРУЖЕНИЕ ПОЛИМОРФНОГО ШЕЛЛКОДА НА ОСНОВЕ ПОДОБИЯ

Денис Юрьевич Гамаюнов, Анастасия Алексеевна Сковорода (Щербинина)

Аннотация


В работе предложен метод обнаружения полиморфных шеллкодов на основе некоторого множества известных шеллкодов. Идея метода состоит в последовательном применении деобфусцирующих преобразований с последующим обнаружением сходства с имеющимися вредоносными образцами. Метод протестирован с использованием Metasploit Framework версии 4.1.0, а также обфускатора PELock и показывает точность порядка 87 % при отсутствии ошибок второго рода.

Ключевые слова


полиморфный шеллкод; обфусцированный шеллкод

Полный текст:

PDF

Литература


1 Anley C., Heasman J., Linder F., Richarte G. The Shellcoder’s Handbook: Discovering and Exploiting Security Holes. 2nd Edition. Wiley Publishing INC, 2007.

2 Булгаков И.А., Гамаюнов Д.Ю., Торощин Э.С. Обнаружение распространения сетевых червей на основе анализа частоты встречаемости инструкций IA32 в сетевом трафике // Труды третьей всероссийской конференции «Методы и средства обработки информации», МГУ им. М.В. Ломоносова, 6—8 октября 2009, Москва. С. 445—450.

3 Toth T., Kruegel C. Accurate buffer overflow detection via abstract payload execution // Proceedings of the 5th Symposium on Recent Advances in Intrusion Detection(RAID), Springer-Verlag Berlin, Heidelberg, Oct. 2002. P. 274—291.

4 Mason J., Small S., Monrose F., MacManus G. English Shellcode // Proceedings of the 16th ACM Conference on Computer and Communications Security, Chicago, November 2009. P. 524—533.

5 Zhang Q., Reeves D.S., Ning P., Lyer S.P. Analyzing network traffic to detect self-decrypting exploit code // Proceedings of the 2nd ACM Symposium on Information, Computer and Communications Security (ASIACCS), New York, USA, 2007. P. 4—12.

6 Polychronakis M., Markatos E.P., Anagnostakis K.G. Network-level polymorphic shellcode detection using emulation // Proceedings of the Third Conference on Detection of Intrusions and Malware & Vulnerability Assessment (DIMVA), Springer-Verlag Berlin, Heidelberg, July 2006. P. 54—73.

7 Polychronakis M., Markatos E.P., Anagnostakis K.G. Emulation-based detection of non-self-contained polymorphic shellcode // Proceedings of the 10th International Symposium on Recent Advances in Intrusion Detection (RAID), Springer-Verlag Berlin, Heidelberg, September 2007. P. 87—106.

8 Pasupulati A., Coit J., Levitt K., et al. Buttercup: On network-based detection of polymorphic buffer overflow vulnerabilities // Proceedings of Network Operations and Management Symposium 2004, Washington: IEEE Computer Society, 2004. Vol. 1. P. 235 — 248.

9 Newsome J., Karp B., Song D. Polygraph: Automatically Generating Signatures for Polymorphic Worms // Proceedings of 2005 IEEE Symposium on Security and Privacy (S & P’05), IEEE Computer Society Washington, DC, USA, May 2005. P. 226—241.

10 PELock Obfuscator. URL: http://www.pelock.com/products/obfuscator (дата обращения: 31.03.2013).

11 Wicherski G. Linespeed shellcode detection. URL: http://www.honeynet.org/SecurityWorkshops/2011_Paris/Session2_1-Shellcode (дата обращения: 31.03.2013).

12 LibEmu, x86 shellcode detection and emulation. URL: http://libemu.carnivore.it (дата обращения: 31.03.2013).


Ссылки

  • На текущий момент ссылки отсутствуют.


Лицензия Creative Commons
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.