Автоматическое определение триггерного поведения вредоносных программ
Дэвид Брамли, Коди Хартвиг, Чжэнкай Лян, Джеймс Ньюсом, Дон Сун, Хэн Инь
В этой главе мы предполагаем, что автоматический анализ поведения на основе триггеров в вредоносных программах возможен. В частности, мы разрабатываем подход для автоматического обнаружения и анализа поведения на основе триггеров с использованием динамического бинарного инструментария и смешанного конкретного и символьного исполнения. Наш подход показывает, что во многих случаях мы можем: (1) обнаружить существование триггерного поведения, (2) найти условия, которые запускают такое скрытое поведение, и (3) найти входные данные, которые удовлетворяют этим условиям, позволяя нам наблюдать вызванное вредоносное поведение в контролируемой среде. Мы внедрили Minesweeper, систему, использующую этот подход. В наших экспериментах MineSweeper успешно идентифицировал триггерное поведение в реальных вредоносных программах. Хотя существует много проблем, связанных с автоматическим определением поведения на основе триггера, MineSweeper показывает нам, что такой автоматический анализ возможен, и поощряет будущую работу в этой области.
Дата публикации: