基于动态符号执行的勒索软件检测方法

doi:10.19678/j.issn.1000-3428.0047884

计算机工程 ›› 2018, Vol. 44 ›› Issue (6): 104-110.doi: 10.19678/j.issn.1000-3428.0047884

基于动态符号执行的勒索软件检测方法

陈政¹,方勇²,刘亮²,左政¹

1.四川大学电子信息学院,成都 610065; 2.四川大学网络空间安全学院,成都 610207

收稿日期:2017-07-10 出版日期:2018-06-15 发布日期:2018-06-15
作者简介:陈政(1991—),男,硕士研究生,主研方向为Windows安全、恶意代码检测;方勇,教授、博士;刘亮,讲师、博士;左政,博士研究生。

Ransomware Detection Method Based on Dynamic Symbol Execution

CHEN Zheng¹,FANG Yong²,LIU Liang²,ZUO Zheng¹

1.College of Electronics and Information Engineering,Sichuan University,Chengdu 610065,China; 2.College of Cybersecurity,Sichuan University,Chengdu 610207,China

Received:2017-07-10 Online:2018-06-15 Published:2018-06-15

摘要/Abstract

摘要： 针对目前因勒索软件造成网络安全事故的问题,在对大量勒索软件样本进行分析的基础上,提出一种基于动态符号执行的勒索软件检测与分析方法。基于插桩工具Pin和约束求解器STP构建ADRAS系统模型,利用动态符号执行和可满足性模理论技术监控勒索软件的加密函数,同时捕捉勒索软件加密行为以及相关的加密信息,从而对多个家族的勒索软件进行检测。实验结果表明,ADRAS系统模型可检测15种已知勒索软件家族的样本,包括著名的CryptoLocker以及最近爆发的WannaCry。

关键词: 勒索软件, 动态符号执行, 约束求解器, 混合加密算法, 恶意代码

Abstract: Aiming at the problem of network security caused by ransomware,based on the analysis of a large number of ransomware samples,a method of detecting and analyzing ransomware based on dynamic symbol execution is proposed.A ADRAS system model is built based on piling tool Pin and constraint solver STP,by using dynamic symbol execution and Satisfiability Modulo Theories(SMT),the ADRAS system model can monitor the encryption function of the ransomware,and effectively capture ransomware’s encryption behavior and related information,and finally detect the ransomware of a number of families.Experimental results show that,the ADRAS system model can detect 15 samples from known ransomware families,including the famous CryptoLocker and the recent outbreak of WannaCry.

Key words: ransomware, dynamic symbol execution, constraint solver, hybrid encryption algorithm, malware

中图分类号:

TP309

陈政,方勇,刘亮,左政. 基于动态符号执行的勒索软件检测方法[J]. 计算机工程, 2018, 44(6): 104-110.

CHEN Zheng,FANG Yong,LIU Liang,ZUO Zheng. Ransomware Detection Method Based on Dynamic Symbol Execution [J]. Computer Engineering, 2018, 44(6): 104-110.

参考文献

［1］CONTINELLA A,GUAGNELLI A,ZINGARO G,et al.ShieldFS:a self-healing,ransomware-aware filesystem［C］//Proceedings of the 32nd Annual Conference on Computer Security Applications.New York,USA:ACM Press,2016:336-347.
［2］PALISSE A,BOUDER H L,LANET J L,et al.Ransomware and the legacy crypto API［C］//Proceedings of the 11th International Conference on Risks and Security of Internet and Systems.Berlin,Germany:Springer,2017:11-28.
［3］勒索软件这门生意［EB/OL］.［2017-07-05］.http://www.freebuf.com/column/135307.html.
［4］Wannacry蠕虫勒索软件袭击全球网络［EB/OL］.［2017-07-01］.http://www.freebuf.com/news/134512.html.
［5］KANSAGRA D,KUHMAR M,JHA D.Ransomware:a threat to cyber-security［J］.CS Journals,2016,7(1):224-227.
［6］KHARRAZ A,ARSHAD S,MULLINER C,et al.UNVEIL:a large-scale,automated approach to detecting ransomware［EB/OL］.［2017-07-05］.http://www.ccs.neu.edu/home/mkharraz/publications/unveil-USENI X.pdf.
［7］LUO X,LIAO Q.Awareness education as the key to ransomware prevention［J］.Information Systems Security,2007,16(4):195-202.
［8］MOORE C.Detecting ransomware with HoneyPot Techniques［C］//Proceedings of 2016 Cybersecurity and Cyberforensics Conference.Washington D.C.,USA:IEEE Press,2016:77-81.
［9］KING J C.Symbolic execution and program testing［J］.Communications of the ACM,1976,19(7):385-394.
［10］BARRETT C W,SEBASTIANI R,SESHIA S A,et al.Satisfiability modulo theories［J］.Handbook of Satisfi-ability,2009,185:825-885.
［11］吉小丽.动态符号执行的性能优化［D］.成都:电子科技大学,2013.
［12］GALLAIRE H.Logic programming:future develop-ments［C］//Proceedings of IEEE Symposium on Logic Programming.Washington D.C.,USA:IEEE Press,1985:88-96.
［13］MOURA L D,BJRNER N.Z3:an efficient SMT solver［C］//Proceedings of International Conference on Tools and Algorithms for the Construction and Analysis of Systems.Berlin,Germany:Springer,2008:337-340.
［14］GANESH V,DILL D L.A decision procedure for bit-vectors and arrays［C］//Proceedings of International Conference on Computer Aided Verification.Berlin,Germany:Springer,2007:519-531.
［15］DUTERTRE B,MOURA L D.The yices SMT solver［EB/OL］.［2017-07-10］.http://gauss.ececs.uc.edu/Courses/c626/lectures/SMT/tool-paper.pdf.

[1]	张景莲, 彭艳兵. 基于特征融合的恶意代码分类研究[J]. 计算机工程, 2019, 45(8): 281-286,295.
[2]	任卓君,陈光. 熵可视化方法在恶意代码分类中的应用[J]. 计算机工程, 2017, 43(9): 167-171.
[3]	白涛,刘成龙,曲武,王震. 基于网络流量异常的僵尸网络受控主机检测研究[J]. 计算机工程, 2015, 41(11): 170-179.
[4]	韩奕，姜建国，仇新梁，马新建，赵双. 基于云计算的恶意程序检测平台设计与实现[J]. 计算机工程, 2014, 40(4): 26-31.
[5]	边根庆,龚培娇,邵必林. 基于K-L散度的恶意代码模型聚类检测方法[J]. 计算机工程, 2014, 40(12): 104-107,113.
[6]	成淑萍,谭良. 基于网络流量的僵尸网络动态检测模型[J]. 计算机工程, 2014, 40(11): 106-112.
[7]	姚新磊, 庞建民, 岳峰, 余勇. 基于API依赖关系的代码相似度分析[J]. 计算机工程, 2013, 39(1): 80-84.
[8]	付思源, 刘功申, 李建华. 基于UEFI固件的恶意代码防范技术研究[J]. 计算机工程, 2012, 38(9): 117-120.
[9]	左黎明, 汤鹏志, 刘二根, 徐保根. 基于行为特征的恶意代码检测方法[J]. 计算机工程, 2012, 38(2): 129-131.
[10]	韩浩, 茅兵, 谢立. 针对ROP攻击的动态运行时检测系统[J]. 计算机工程, 2012, 38(04): 122-125.
[11]	郭致昌, 张平, 庞建民, 郭浩然, 崔晨. 基于行为特征的BIOS Rootkit检测[J]. 计算机工程, 2011, 37(2): 251-252.
[12]	苗甫, 王振兴, 张连成. 基于流量统计指纹的恶意代码检测模型[J]. 计算机工程, 2011, 37(18): 131-133.
[13]	王乾, 舒辉, 李洋, 黄荷洁. 基于DynamoRIO的恶意代码行为分析[J]. 计算机工程, 2011, 37(18): 139-141.
[14]	池亚平, 许盛伟, 方勇. BIOS木马机理分析与防护[J]. 计算机工程, 2011, 37(13): 122-124.
[15]	白莉莉;庞建民;张一弛;岳峰. 基于关键应用编程接口图的恶意代码检测[J]. 计算机工程, 2010, 36(9): 139-141.

基于动态符号执行的勒索软件检测方法

Ransomware Detection Method Based on Dynamic Symbol Execution

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

Metrics

本文评价

推荐阅读 10