CN109472143A - 一种对勒索软件进行自动分析的方法及系统 - Google Patents
一种对勒索软件进行自动分析的方法及系统 Download PDFInfo
- Publication number
- CN109472143A CN109472143A CN201711471911.2A CN201711471911A CN109472143A CN 109472143 A CN109472143 A CN 109472143A CN 201711471911 A CN201711471911 A CN 201711471911A CN 109472143 A CN109472143 A CN 109472143A
- Authority
- CN
- China
- Prior art keywords
- analysis
- sample
- static
- report
- family
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提出了一种对勒索软件进行自动分析的方法及系统,包括三个方面,第一个方面为自动化分析,将勒索者样本投入到自动化分析系统中进行全面的分析;第二个方面通过自动化分析的结果搜索资源库,查看是否有类似行为的家族、背景资料等;第三方面将自动化分析结果和资源库搜索结果整理为一份可查看和输出的分析报告,如有解密方法,可在报告中直接获取。本发明可快速的判断样本家族、流行趋势、危害程度,同时,大大减少人力成本的投入,加大产出,加快分析进程,有效保障分析的准确性。随着报告的生成,分析结果直观简洁,如果曾经产出过解密工具,则可快速的解决被加密问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种对勒索软件进行自动分析的方法及系统。
背景技术
勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
现今对勒索软件的解决方案多为单点处理,即出现一个解决一个。分析方法也多为手工分析,判断其算法和行为,这样处理保证了判断的准确性,但过于被动,伴随着大量的时间、人力的消耗和重复性工作。勒索软件即服务(RaaS)爆发式的发展,使得勒索活动不需要太多资金或技术专业知识就能启动,单靠人工分析,耗时耗力。但因为这些勒索软件具有极大地相似性,如果能够通过信息集成判断来源和家族,则可以极大地减少分析的难度和时间。实际勒索软件的主要行为即是数据加密,自动化分析能够快速的判断其加密算法,使得分析事半功倍。现在流行的勒索软件通常具有自我复制、注入系统进程、加入启动项和修改mbr等行为,还会产生勒索桌面和勒索信,加密的途径通常为钓鱼攻击和漏洞利用。
发明内容
针对上述现有技术中存在的问题,本发明提出了一种对勒索软件进行自动分析的方法及系统,包括三个方面,第一个方面为自动化分析,将勒索者样本投入到自动化分析系统中进行全面的分析;第二个方面通过自动化分析的结果搜索资源库,查看是否有类似行为的家族、背景资料等;第三方面将自动化分析结果和资源库搜索结果整理为一份可查看和输出的分析报告,如有解密方法,可在报告中直接获取。
具体发明内容包括:
一种对勒索软件进行自动分析的方法,包括:
将勒索软件样本投入到自动分析环境中,判断样本是否可运行,若是,则对样本进行动静态分析;否则对样本进行静态分析;
将分析结果与病毒数据库中的信息进行对比,判断样本是否属于已知病毒家族,若是,则与已知病毒家族的信息进行匹配分析;否则对样本进行深度分析;
输出分析报告。
进一步地,所述对样本进行动静态分析、对样本进行静态分析,其分析结果包括:静态向量、签名信息、加密算法、衍生文本、注入行为、系统文件修改信息。
进一步地,还包括:通过深度分析得到解密方法,和/或通过所述分析报告得出解密思路。
一种对勒索软件进行自动分析的系统,包括:
自动分析模块,用于将勒索软件样本投入到自动分析环境中,判断样本是否可运行,若是,则对样本进行动静态分析;否则对样本进行静态分析;
横向匹配与深度分析模块,用于将分析结果与病毒数据库中的信息进行对比,判断样本是否属于已知病毒家族,若是,则与已知病毒家族的信息进行匹配分析;否则对样本进行深度分析;
报告生成模块,用于根据横相匹配与深度分析模块的分析结果输出分析报告。
进一步地,所述对样本进行动静态分析、对样本进行静态分析,其分析结果包括:静态向量、签名信息、加密算法、衍生文本、注入行为、系统文件修改信息。
进一步地,还包括解密模块,用于通过深度分析得到解密方法,和/或通过所述分析报告得出解密思路。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的自动分析方法。
一种计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行所述的自动分析方法。
本发明的有益效果是:
本发明可快速的判断样本家族、流行趋势、危害程度,同时,大大减少人力成本的投入,加大产出,加快分析进程,有效保障分析的准确性。随着报告的生成,分析结果直观简洁,如果曾经产出过解密工具,则可快速的解决被加密问题。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种对勒索软件进行自动分析的方法流程图;
图2为本发明一种对勒索软件进行自动分析的系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种对勒索软件进行自动分析的方法实施例,如图1所示,包括:
S101:将勒索软件样本投入到自动分析环境中;
S102:判断样本是否可运行,若是,则进入S103;否则进入S104;
S103:对样本进行动静态分析;
S104:对样本进行静态分析;
S105:将分析结果与病毒数据库中的信息进行对比;
S106:判断样本是否属于已知病毒家族,若是,则进入S107;否则进入S108;
S107:与已知病毒家族的信息进行匹配分析;
S108:对样本进行深度分析;
S109:输出分析报告。
优选地,所述对样本进行动静态分析、对样本进行静态分析,其分析结果包括:静态向量、签名信息、加密算法、衍生文本、注入行为、系统文件修改信息。
优选地,还包括:通过深度分析得到解密方法,和/或通过所述分析报告得出解密思路。
本发明还给出了一种对勒索软件进行自动分析的系统实施例,如图2所示,包括:
自动分析模块201,用于将勒索软件样本投入到自动分析环境中,判断样本是否可运行,若是,则对样本进行动静态分析;否则对样本进行静态分析;
横向匹配与深度分析模块202,用于将分析结果与病毒数据库中的信息进行对比,判断样本是否属于已知病毒家族,若是,则与已知病毒家族的信息进行匹配分析;否则对样本进行深度分析;
报告生成模块203,用于根据横相匹配与深度分析模块202的分析结果输出分析报告。
优选地,所述对样本进行动静态分析、对样本进行静态分析,其分析结果包括:静态向量、签名信息、加密算法、衍生文本、注入行为、系统文件修改信息。
优选地,还包括解密模块,用于通过深度分析得到解密方法,和/或通过所述分析报告得出解密思路。
另,本发明给出了一种实施例的计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现上述实施例中自动分析的方法;同时还可能包括用于存储器和处理器通信的通信接口;所述存储器可能包含RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器;所述处理器可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路;所述存储器、处理器可以独立部署,也可以集成在一块芯片上。
为了实现上述实施例,本发明还给出了一种非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例中自动分析的方法。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出了一种对勒索软件进行自动分析的方法及系统,包括三个方面,第一个方面为自动化分析,将勒索者样本投入到自动化分析系统中进行全面的分析;第二个方面通过自动化分析的结果搜索资源库,查看是否有类似行为的家族、背景资料等;第三方面将自动化分析结果和资源库搜索结果整理为一份可查看和输出的分析报告,如有解密方法,可在报告中直接获取。本发明可快速的判断样本家族、流行趋势、危害程度,同时,大大减少人力成本的投入,加大产出,加快分析进程,有效保障分析的准确性。随着报告的生成,分析结果直观简洁,如果曾经产出过解密工具,则可快速的解决被加密问题。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种对勒索软件进行自动分析的方法,其特征在于,包括:
将勒索软件样本投入到自动分析环境中,判断样本是否可运行,若是,则对样本进行动静态分析;否则对样本进行静态分析;
将分析结果与病毒数据库中的信息进行对比,判断样本是否属于已知病毒家族,若是,则与已知病毒家族的信息进行匹配分析;否则对样本进行深度分析;
输出分析报告。
2.如权利要求1所述的方法,其特征在于,所述对样本进行动静态分析、对样本进行静态分析,其分析结果包括:静态向量、签名信息、加密算法、衍生文本、注入行为、系统文件修改信息。
3.如权利要求1所述的方法,其特征在于,还包括:通过深度分析得到解密方法,和/或通过所述分析报告得出解密思路。
4.一种对勒索软件进行自动分析的系统,其特征在于,包括:
自动分析模块,用于将勒索软件样本投入到自动分析环境中,判断样本是否可运行,若是,则对样本进行动静态分析;否则对样本进行静态分析;
横向匹配与深度分析模块,用于将分析结果与病毒数据库中的信息进行对比,判断样本是否属于已知病毒家族,若是,则与已知病毒家族的信息进行匹配分析;否则对样本进行深度分析;
报告生成模块,用于根据横相匹配与深度分析模块的分析结果输出分析报告。
5.如权利要求4所述的系统,其特征在于,所述对样本进行动静态分析、对样本进行静态分析,其分析结果包括:静态向量、签名信息、加密算法、衍生文本、注入行为、系统文件修改信息。
6.如权利要求4所述的系统,其特征在于,还包括解密模块,用于通过深度分析得到解密方法,和/或通过所述分析报告得出解密思路。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-3任一所述的自动分析方法。
8.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序可被处理器执行如权利要求1-3任一所述的自动分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711471911.2A CN109472143A (zh) | 2017-12-29 | 2017-12-29 | 一种对勒索软件进行自动分析的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711471911.2A CN109472143A (zh) | 2017-12-29 | 2017-12-29 | 一种对勒索软件进行自动分析的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109472143A true CN109472143A (zh) | 2019-03-15 |
Family
ID=65658050
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711471911.2A Withdrawn CN109472143A (zh) | 2017-12-29 | 2017-12-29 | 一种对勒索软件进行自动分析的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109472143A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111191235A (zh) * | 2019-10-11 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 可疑文件分析方法、装置和计算机可读存储介质 |
| CN113779573A (zh) * | 2021-08-04 | 2021-12-10 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005173903A (ja) * | 2003-12-10 | 2005-06-30 | Japan Science & Technology Agency | プログラム認証システム |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN105760761A (zh) * | 2016-02-04 | 2016-07-13 | 中国联合网络通信集团有限公司 | 软件行为分析方法和装置 |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
-
2017
- 2017-12-29 CN CN201711471911.2A patent/CN109472143A/zh not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005173903A (ja) * | 2003-12-10 | 2005-06-30 | Japan Science & Technology Agency | プログラム認証システム |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN105760761A (zh) * | 2016-02-04 | 2016-07-13 | 中国联合网络通信集团有限公司 | 软件行为分析方法和装置 |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111191235A (zh) * | 2019-10-11 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 可疑文件分析方法、装置和计算机可读存储介质 |
| CN111191235B (zh) * | 2019-10-11 | 2024-04-02 | 腾讯科技(深圳)有限公司 | 可疑文件分析方法、装置和计算机可读存储介质 |
| CN113779573A (zh) * | 2021-08-04 | 2021-12-10 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN113779573B (zh) * | 2021-08-04 | 2023-08-29 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Liao et al. | Soliaudit: Smart contract vulnerability assessment based on machine learning and fuzz testing | |
| Aslan et al. | A new malware classification framework based on deep learning algorithms | |
| CN109087106B (zh) | 识别二次放号账户盗用的风控模型训练、风控方法、装置以及设备 | |
| US9876812B1 (en) | Automatic malware signature extraction from runtime information | |
| Bacci et al. | Impact of Code Obfuscation on Android Malware Detection based on Static and Dynamic Analysis. | |
| CN105205397B (zh) | 恶意程序样本分类方法及装置 | |
| Yewale et al. | Malware detection based on opcode frequency | |
| US9798981B2 (en) | Determining malware based on signal tokens | |
| US10986103B2 (en) | Signal tokens indicative of malware | |
| CN109598124A (zh) | 一种webshell检测方法以及装置 | |
| Demirkıran et al. | An ensemble of pre-trained transformer models for imbalanced multiclass malware classification | |
| TW201220118A (en) | A method and a system for automatically analyzing and classifying a malicious program | |
| CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
| CN109472143A (zh) | 一种对勒索软件进行自动分析的方法及系统 | |
| CN107239698A (zh) | 一种基于信号处理机制的反调试方法和装置 | |
| CN109446053A (zh) | 应用程序的测试方法、计算机可读存储介质及终端 | |
| CN115827610A (zh) | 一种有效负荷的检测方法及装置 | |
| CN114826639B (zh) | 基于函数调用链跟踪的应用攻击检测方法及装置 | |
| CN103279711A (zh) | 一种静态特征值稳定的pe文件加壳检测方法 | |
| CN108229168B (zh) | 一种嵌套类文件的启发式检测方法、系统及存储介质 | |
| US20190114639A1 (en) | Anomaly detection in data transactions | |
| KR102192196B1 (ko) | Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법 | |
| CN111143858B (zh) | 数据检查方法及装置 | |
| US11574053B1 (en) | System and method for detecting malicious scripts | |
| CN111898126A (zh) | 一种基于动态获取用户界面的Android重打包应用检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190315 |