CN114647845A - 一种恶意样本延时代码的检测识别方法及装置 - Google Patents

Abstract

本发明公开了一种恶意样本延时代码的检测识别方法及装置，涉及恶意代码检测技术领域。所述方法包括：运行目标代码，获取结束地址与运行指令数；根据所述运行指令数与所述目标代码在规定时间内运行的指令数，计算执行进度；寻找结束地址所在的子过程内的次数极大循环，并根据次数极大循环的循环出入口地址，检查所述次数极大循环内是否存在延时性调用；基于所述执行进度与所述次数极大循环内是否存在延时性调用，获取检测识别结果。本发明有效性高，适用范围广，并实现了在恶意样本文件内定位所有延时代码的具体地址，提高恶意代码分析的实际效果，增强沙箱等动态环境分析恶意样本的能力。

Description

一种恶意样本延时代码的检测识别方法及装置

技术领域

本发明属于恶意代码检测技术领域，涉及一种对特定类型的恶意代码的检测识别方法，特别涉及一种恶意样本延时代码的检测识别方法及装置。

背景技术

恶意代码的识别与检测是构成***安全与软件安全的一项重要内容，也是近年来安全领域内攻击者与防御者持续对抗，不断进行技术升级的研究分支。随着防御方在恶意代码分析技术，特别是以沙箱为代表的动态分析技术上的进步，对恶意代码的特征识别与分类效率有了显著的提升。

然而，恶意代码作者们为了提升恶意代码的隐蔽性与多样性，开始研究能够对抗或者逃避沙箱对恶意代码分析的技术，这类恶意软件被称为逃避型恶意软件(EvasiveMalware)。逃避型恶意软件通过反调试、运行环境检测、模仿正常***行为、模仿用户活动模式、流量混淆等技术，干扰沙箱等工具或环境对恶意代码的分析，从而导致沙箱的误判，使自己蒙混过关。具体表现为恶意代码在分析过程中不表现出任何的恶意行为或刻意模仿正常进程的行为，或者在动态分析的过程中强制退出或结束自身运行等。因此，逃避型恶意软件的出现与流行对恶意代码分析人员提出了很大的挑战。

延时代码(Stalling Code)是逃避型恶意代码中一项逃避效果非常显著的技术，受到许多恶意代码作者们的采用。顾名思义，延时代码被设计的目的就是“拖延时间”。由于恶意样本基数庞大，在沙箱中分析的每个样本得到的分析时间非常有限，大约只有几分钟。于是恶意代码作者们设计延时代码来拖延恶意代码的运行，时间长度在几分钟到几小时不等，由此恶意代码在沙箱中运行时只会不停地执行延时代码，并由此表现出完全无害的行为特征，从而欺骗沙箱的判断结果，为分析人员带来错误的判断。

随着时间的推移，延时代码本身也在不断地进化与完善。最初也最简单的延时代码利用的是sleep调用，通过让程序休眠一段时间来躲过沙箱对恶意代码的分析，采用此种技术的例子有DUQU木马、Kelihos僵尸网络等。然而现在许多沙箱中都设置了对sleep调用的检测与修补，一旦发现了无用的sleep调用，沙箱会简单地跳过它或将它修改为NOP指令，从而使休眠失效。

除了sleep调用之外，恶意代码作者更多采用构造自定义延时代码来实现延时功能，从而提高恶意代码本身的隐蔽性。恶意代码作者一般会选择那些模拟效果较差的指令或者在沙箱内执行时间比真实机器上更长的***调用来拉大沙箱环境的特征差异，并设置一个次数极多的循环来进一步增强延时效果。例如间谍软件Rombertik的自定义构造式延时代码为了迷惑沙箱，向内存中写入了近960M字节的垃圾数据。

针对自定义构造式的延时性恶意代码提出的检测方法并不是很多。Kolbitsch等人(Kolbitsch C,Kirda E,Kruegel C.The power of procrastination:detection andmitigation of execution-stalling malicious code[C]//Proceedings of the 18thACM conference on Computer and communications security.2011:285-296.)提出的HASTEN框架可以算是对延时代码的识别与修补进行的一次比较早的探索。HASTEN平时运行在监控模式下，当遇到API调用出现异常的样本时，便转入被动模式来记录已执行部分的指令的地址，利用地址构建一个部分控制流图，寻找其中的环路，将它们列入白名单，通过调整监测环境的配置限制白名单代码区域的详细记录行为来减轻延时代码带来的影响。ChouYou等人(You C,Pang J,Zhang Y,et al.An approach to detect malicious behaviorsby evading stalling code[M].Telkomnika,2012.)提出的延时代码识别方法主要集中在识别具备循环特征的自定义延时代码。首先获取样本运行一次得到的trace文件，然后在trace文件中识别循环结构具有一定规模且包含耗时指令的可疑代码区域，并判定为延时代码循环。Chih-Hung Lin等人(Lin C H,Pao H K,Liao J W.Efficient dynamic malwareanalysis using virtual time control mechanics[J].Computers&Security,2018,73:359-373.)提出的VTCSandbox通过利用Xen中的虚拟时间控制器(Virtual TimeController，VTC)来实现沙箱内部的时间加速，从而提高沙箱在分析每一个样本时的分析效率，这一成果可以被应用于修补sleep调用周围设置的反沙箱检测技术，但是恶意代码可能会通过虚拟机内外时钟差异检测来发现沙箱的存在，或者使用自定义构造式延时代码对VTCSandbox采取定向躲避措施。Jeffrey Barnett(Barnett J.A hierarchical temporalmemory sequence classifier for streaming data[J].2020.)提出了一种新式分类器，称为层级实时记忆序列分类器(HTM Sequence Classifier)，这项成果本来是利用HTM算法去除数据流分类时数据包含的噪声等异常信息，但是作者在分析时发现了一项额外的附带结果，即分析包含延时代码的数据流时，HTM分类器对EFLAGS寄存器的各标志位值分析得到的精确度与不包含延时代码的数据流存在一定的差异，作者认为这种差异可以帮助更快更准确地识别延时代码。

相对地，自定义构造式延时代码也是许多恶意代码检测***存留的局限性之一。例如Lengyel等人(Lengyel T K,Maresca S,Payne B D,et al.Scalability,fidelityand stealth in the drakvuf dynamic malware analysis system [C]//Proceedingsof the 30th Annual Computer Security Applications Conference.2014:386-395.)提出的DRAKVUF动态监测***就无法检测出具有延时功能的恶意样本；Kirat等人(Kirat D,Vigna G,Kruegel C.Barecloud:bare-metal analysis-based evasive malwaredetection[C]//23rd{USENIX}Security Symposium({USENIX}Security14).2014:287-301.)提出的bare metal分析***BARECLOUD由于牺牲监视能力换取了自身的透明度，也无法检测出样本中延时代码的存在；Peidai Xie等人(Xie P,Lu X,Su J,et al.ipanda:Acomprehensive malware analysis tool[C]//The International Conference onInformation Networking 2013(ICOIN).IEEE,2013:481-486.)提出的综合性恶意软件检测工具iPanda设有专门检测逃避类恶意软件的模块DEAT，但是目前并没有实现对延时代码的检测；Kawayoka等人(Kawakoya Y,Iwamura M,Shioji E,et al.Api chaser:Anti-analysis resistant malware analyzer[C]//International Workshop on RecentAdvances in Intrusion Detection.Springer,2013:123-143.)提出了具有反恶意代码分析抵抗能力的API监控式分析框架API Chaser，但同样没有将延时代码识别纳入考虑范围之内。可见，延时代码在恶意代码中的广泛采用为安全分析人员们带来的不小的挑战。

自定义构造式延时代码在逃避类恶意代码中占据了更多的比例，流行性更高。具有分布范围广、检测难度大等特点，提出一项能够精确定位自定义构造式延时代码的技术对恶意代码的检测和恶意行为特征的提取具有非常重要的意义，也具备不可替代的研究价值。

发明内容

本发明公开了一种恶意样本延时代码的检测识别方法及装置对恶意样本内的延时代码进行检测和识别，定位一个延时性恶意样本中自定义构造式延时代码的实际位置，具体地讲，本发明的技术方案以待检测的恶意样本作为输入，输出样本的执行进度和内含的延时代码地址列表。

本发明采用的技术方案如下：

一种恶意样本延时代码的检测识别方法，其步骤包括：

运行目标代码，获取结束地址与运行指令数；

根据所述运行指令数与所述目标代码在规定时间内运行的指令数，计算执行进度；

寻找结束地址所在的子过程内的次数极大循环，并根据次数极大循环的循环出入口地址，检查所述次数极大循环内是否存在延时性调用；

基于所述执行进度与所述次数极大循环内是否存在延时性调用，获取检测识别结果。

进一步地，所述获取结束地址与运行指令数，包括：

1)基于自定义分析样本的接口，修改Cuckoo沙箱的源码；

2)设置目标代码运行的参数配置；

3)基于修改后的源码与所述参数配置，编写Cuckoo自定义分析处理程序，以获取目标代码在沙箱内运行时生成的结束地址与运行指令数。

进一步地，所述获取结束地址与运行指令数时，不计算库函数。

进一步地，所述计算样本执行进度，包括：将所述目标代码在规定时间内运行的指令数作为分子，并将所述运行指令数作为分母进行计算。

进一步地，所述获取检测识别结果，包括：

当所述执行进度低于设定阈值，且所述次数极大循环内存在延时性调用，则所述目标代码为恶意延时代码；

或，

当所述执行进度不低于设定阈值、或所述结束地址所在的子过程内不存在次数极大循环、或所述次数极大循环内不存在延时性调用，则所述目标代码为非恶意延时代码。

进一步地，获取次数极大循环的条件跳转指令地址，其中所述条件跳转指令地址用于指出延时代码的可修补位置及指导延时代码的安全修补工作。

进一步地，所述检测识别方法，还包括：

1)在延时循环内部或与延时循环处于同一子过程内的其他位置，获取和延时循环相关联的变量，并记录所述变量的地址；

2)基于所述变量的地址，构建延时代码地址列表；

3)输出所述执行进度与延时代码地址列表。

进一步地，所述检测识别方法，更包括：

1)在检测多个目标代码时，以存放目标代码的目录samples为输入；

2)设定执行一次分析目标代码的最大数量；

3)通过批处理模式，同时对多个目标代码执行恶意样本延时代码检测。

一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一所述方法。

一种电子设备，其特征在于，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一所述方法。

本发明的有益效果：

本方法提出了一种有效性高，适用范围广的自定义构造式延时代码的检测识别方法，实现了在恶意样本文件内定位所有延时代码的具体地址的功能。实验表明，本方法针对奇安信沙箱和VirusTotal 2020年接收的恶意样本集，能够检测出约32.8％的延时性样本，识别正确率约为95.4％，仅存在少量误报，且不存在漏报。本发明采用的筛选方法和识别方法相较目前已有的开放沙箱检测***，具有有效性更高，适用范围更广的检测效果。不仅能够有效地定位延时代码，更能够以此为基础，指导沙箱在正确的位置修补延时代码，使恶意样本表露出更多的恶意行为，提高恶意代码分析的实际效果，增强沙箱等动态环境分析恶意样本的能力。

附图说明

图1为本发明的延时代码检测***架构图；

图2为本发明信息收集主程序流程图；

图3为本发明检测识别主程序流程图；

图4为本发明延时代码检测识别方法流程图。

具体实施方式

下面结合附图对本发明进行进一步详细描述。

本发明的***架构如图1所示共分为两个部分，分别是基于Cuckoo沙箱的信息收集模块和基于IDA Pro的检测识别模块。信息收集模块基于Cuckoo沙箱的Host-Guest架构实现，它负责提供待检测恶意样本运行的特定分析环境，并收集Guest机器上获取的样本信息到Host机器，并按照样本标识分类保存。检测识别模块基于IDA Pro的IDAPython脚本接口实现，它负责利用信息收集模块获取的每个样本的结束地址和运行指令数，计算恶意样本的执行进度，并检测恶意样本内延时代码和与其相关联的特征变量的具***置。

信息收集主程序负责控制信息收集模块的主要运行过程，如图2所示，它提供样本运行时间、样本提交数量和结果文件存放目录(results目录)的参数配置。主程序将根据用户设置的这些参数构造合适的Cuckoo任务提交和启动运行命令，以编写好的Cuckoo自定义分析处理程序获取每个样本在沙箱内运行时生成的有效信息。此外，按照默认配置搭建的Cuckoo沙箱环境无法获取延时代码检测需要的样本结束地址和运行指令数，因此需要对Cuckoo沙箱的源码稍作修改。Cuckoo沙箱提供了用户实现自定义分析样本的接口，可以据此编写相应的分析程序，并在启动样本分析前指定自己编写的分析程序为参数，以控制样本的运行流程。本发明中这一获取结束地址和运行指令数的方法相比Chou You等人(YouC,Pang J,Zhang Y,et al.An approach to detect malicious behaviors by evadingstalling code[M].Telkomnika,2012.)提出的获取run trace法有了一定的改进。如果对每个样本文件都获取run trace，则会产生非常大的存储占用，显著降低延时代码的识别效率，而本方法仅收集样本运行结束时的指令地址及运行一次的指令数，在保留延时代码识别模块所需信息的同时，降低了程序的存储占用，也缩短了延时代码检测程序的运行时长，提高检测效率。

检测识别主程序的运行流程如图3所示，它以存放样本文件的目录samples为输入，在设定执行一次分析的样本数后，便开启一个循环，对每个样本通过批处理模式的IDA执行延时代码检测程序main_detection.py，最终生成每个样本文件的延时代码地址列表。

图4展示了延时代码检测程序main_detection的运行流程。检测程序首先从results目录获取各个样本的运行指令数，以此计算样本的执行进度，同时开始寻找结束地址所在的子过程内有无次数极大的循环，若有则获取它们的出入口地址。若样本执行进度低于指定阈值，则满足延时代码的第一条特征，但仅满足这一特征还不够，因为有可能出现样本内包含需要用户活动参与的代码区域，所以识别程序将继续运行，接下来程序将根据之前获取的循环出入口地址检查次数极大的可疑循环范围内的延时性调用，并寻找延时循环内部或与延时循环处于同一子过程内的其他位置有无数值和延时循环相关联的变量，称这种变量为延时循环的特征变量。若存在这样的变量，则同样记录其地址，最后将结果返回。

在一示例中，***除寻找循环次数极大的可疑循环的出入口之外，还寻找条件跳转指令地址。其中条件跳转指令地址用于为安全分析人员指出延时代码的可修补位置，指导延时代码的安全修补工作。

为了量化恶意样本的延时性，本发明提出样本执行进度这一指标，它表示在一段特定的运行时间内，样本实际运行的指令数占总指令数的比例，其中分子为样本在规定时间内运行的指令数，分母本来应当设定为运行完毕时的总指令数(不含库函数)，但考虑到本发明针对的目标是短时间内无法运行完毕的延时性样本，因此对分母稍作调整，设置为静态样本文件的总指令数(不含库函数)与样本内循环次数的总和。又因为延时型样本内延时循环的循环次数远超其它正常循环的循环次数，因此可以近似为延时循环的总次数。

总的来说，样本执行进度的分子便是信息收集模块获取的运行指令数，而分母则是静态样本文件的总指令数(不含库函数)与延时循环总次数之和。由于运行指令数本身是在一次运行中得到的数据，因此样本执行进度这一指标便可以用来表示样本在一次运行中执行的指令数占样本总指令数的比例。为了确定合适的执行进度阈值，对一个已知延时性样本集合在分析时间为120s的情况下进行了运行测试，测试结果表明：随着时间变长，样本的执行进度提升的非常缓慢，超过80％的延时性样本执行进度都集中在25％-35％的区间内，因此将执行进度的阈值设定为35％。

综上所述，本发明中延时代码应满足的特征有3条：执行进度过低、具有次数极大的循环、循环内存在延时性函数调用，只有这3条特征均满足的情况下才能认为检测到延时代码。而延时循环的特征变量并非所有延时代码都具备的特征，仅有某些复杂的延时代码满足，因此不属于识别延时代码的必要条件。

下面将结合本发明中延时代码检测程序中的附图，给出一个具体实施例。可以理解的是，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

某用户在公共恶意样本网站上下载了一个名为f4110f7dbf369e1b96a750a6d08ba88b.exe的未知样本，当放入普通沙箱运行时，它并未显露出任何恶意行为，因此用户怀疑它内部可能存在延时代码。

将该样本放入本发明的检测***中，设置120s的运行时间和35％的样本执行进度阈值，提交给信息收集模块，获得样本ID为1。经过一段时间后，样本在超时情形下结束运行，生成一个名为LastAddr.txt的文件，其中内容如下所示。

Loading f4110f7dbf369e1b96a750a6d08ba88b.exe

Last Address＝0x454b01

Count＝42237561

该文件经过本发明设置的自定义处理程序会被放置到Host机上编号为1的目录下的files文件夹内存放。信息收集接着以LastAddr.txt_f4110f7dbf369e1b96a750a6d08ba88b.exe.txt为新值重命名该结果文件，将它复制到Host机的results目录下。

接下来，本发明将运行检测识别模块主程序，检测程序以IDA打开样本文件，通过信息收集模块提供的Last Address找到样本结束运行前所停住的位置。在该子过程内，程序开始寻找所有的循环结构，并统计它们的循环次数，同时程序将计算整个静态的样本文件所含的指令数(不含库函数)，结合这些数据，可以计算出样本这一次运行的执行进度。

计算完成后程序发现该执行进度低于35％的阈值，于是继续进行下一步，寻找之前定位到的所有大次数循环内有无延时性函数调用。本实施例中检测程序使用的延时性函数调用检测列表如表1所示。

表1目前***支持检测的延时性函数调用

经过搜索程序发现了有两个循环内部对GetTickCount函数存在调用，因此收集这两个循环的出入口指令地址和条件跳转指令地址。

这样检测过程便完成了，该过程生成名为jcc_f4110f7dbf369e1b96a750a6d08ba88b.exe.txt的结果文件，其中内容如下所示。

f4110f7dbf369e1b96a750a6d08ba88b.exe

Sample Progress＝29.72％

Loop Jccs＝[‘0x454add’,‘0x454b2c’]

结果文件分别保存了样本名称、执行进度和延时循环的条件跳转，这一结果将指导检测程序所在的沙箱环境在合适的位置进行修补。经过正确修补后，用户再次将它提交给沙箱，发现沙箱检测到它存在进程注入和修改注册表项的恶意行为。

综上，可见本发明能够有效检测自定义构造式延时代码并正确指导沙箱修补恶意样本。

Claims (10)

1.一种恶意样本延时代码的检测识别方法，其步骤包括：

运行目标代码，获取结束地址与运行指令数；

根据所述运行指令数与所述目标代码在规定时间内运行的指令数，计算执行进度；

寻找结束地址所在的子过程内的次数极大循环，并根据次数极大循环的循环出入口地址，检查所述次数极大循环内是否存在延时性调用；

基于所述执行进度与所述次数极大循环内是否存在延时性调用，获取检测识别结果。

2.如权利要求1所述的方法，其特征在于，所述获取结束地址与运行指令数，包括：

1)基于自定义分析样本的接口，修改Cuckoo沙箱的源码；

2)设置目标代码运行的参数配置；

3)基于修改后的源码与所述参数配置，编写Cuckoo自定义分析处理程序，以获取目标代码在沙箱内运行时生成的结束地址与运行指令数。

3.如权利要求1所述的方法，其特征在于，所述获取结束地址与运行指令数时，不计算库函数。

4.如权利要求1所述的方法，其特征在于，所述计算样本执行进度，包括：将所述目标代码在规定时间内运行的指令数作为分子，并将所述运行指令数作为分母进行计算。

5.如权利要求1所述的方法，其特征在于，所述获取检测识别结果，包括：

当所述执行进度低于设定阈值，且所述次数极大循环内存在延时性调用，则所述目标代码为恶意延时代码；

或，

当所述执行进度不低于设定阈值、或所述结束地址所在的子过程内不存在次数极大循环、或所述次数极大循环内不存在延时性调用，则所述目标代码为非恶意延时代码。

6.如权利要求1所述的方法，其特征在于，获取次数极大循环的条件跳转指令地址，其中所述条件跳转指令地址用于指出延时代码的可修补位置及指导延时代码的安全修补工作。

7.如权利要求1所述的方法，其特征在于，所述检测识别方法，还包括：

1)在延时循环内部或与延时循环处于同一子过程内的其他位置，获取和延时循环相关联的变量，并记录所述变量的地址；

2)基于所述变量的地址，构建延时代码地址列表；

3)输出所述执行进度与延时代码地址列表。

8.如权利要求1所述的方法，其特征在于，所述检测识别方法，更包括：

1)在检测多个目标代码时，以存放目标代码的目录samples为输入；

2)设定执行一次分析目标代码的最大数量；

3)通过批处理模式，同时对多个目标代码执行恶意样本延时代码检测。

9.一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1-8中任一所述方法。

10.一种电子设备，其特征在于，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-8中任一所述方法。

Images