CN114244599A - 一种干扰恶意程序的方法 - Google Patents
一种干扰恶意程序的方法 Download PDFInfo
- Publication number
- CN114244599A CN114244599A CN202111534780.4A CN202111534780A CN114244599A CN 114244599 A CN114244599 A CN 114244599A CN 202111534780 A CN202111534780 A CN 202111534780A CN 114244599 A CN114244599 A CN 114244599A
- Authority
- CN
- China
- Prior art keywords
- server
- interference
- malicious program
- host
- configuration file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000002452 interceptive effect Effects 0.000 title claims abstract description 12
- 238000004458 analytical method Methods 0.000 claims abstract description 15
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 238000004590 computer program Methods 0.000 claims description 9
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 3
- 230000007812 deficiency Effects 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 241001377938 Yara Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及网络安全技术领域中的一种干扰恶意程序的方法,包括以下步骤:遍根据CS恶意程序进程获取恶意程序堆信息,并进行特征分析得到恶意程序内存特征,将恶意程序内存特征编写为检测规则;遍历主机运行时的每一个进程内存的堆信息,并根据检测规则,扫描出内存恶意程序进程;从内存恶意程序进程中获取初始配置文件,并对初始配置文件进行解密,得到解密配置文件;根据解密配置文件构造若干组干扰请求包,并将若干组干扰请求包重复发送至服务端;判断服务端是否下发攻击者任务,若是,则构造干扰结果发送至服务端,若否,则继续重复发送干扰请求包至服务端,本申请突破了现有的安全产品仅有检测恶意程序功能,而无法与恶意程序对抗的瓶颈。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种干扰恶意程序的方法。
背景技术
CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll木马生成、Java木马生成、Office宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。
目前市场上通常为防范CS恶意程序的干扰,采用识别出CS恶意程序的方法进行防范,然而,即使能够快速地识别出CS恶意程序,但依然无法对该恶意程序进行对抗,使得攻击者还是会通过不断下CS恶意程序,企图以此达到最终控制主机的目的。
发明内容
本申请针对现有技术中的缺点,提供了一种干扰恶意程序的方法,突破了现有的安全产品仅有检测恶意程序功能,而无法与恶意程序对抗的瓶颈。
为了解决上述技术问题,本申请通过下述技术方案得以解决:
一种干扰恶意程序的方法,包括以下步骤:
根据CS恶意程序进程获取恶意程序堆信息,并进行特征分析得到恶意程序内存特征,将所述恶意程序内存特征编写为检测规则;
遍历主机运行时的每一个进程内存的堆信息,并根据所述检测规则,扫描出内存恶意程序进程;
从内存恶意程序进程中获取初始配置文件,并对所述初始配置文件进行解密,得到解密配置文件;
根据所述解密配置文件构造若干组干扰请求包,并将若干组所述干扰请求包重复发送至服务端;
判断服务端是否下发攻击者任务,若是,则构造干扰结果发送至服务端,若否,则继续重复发送干扰请求包至服务端。
可选的,根据CS恶意程序进程获取恶意程序堆信息,并进行特征分析得到恶意程序内存特征,包括以下步骤:
通过Windows调试工具对所述恶意程序堆信息进行分析,得到分析结果;
根据所述分析结果对所述恶意程序堆信息进行区分,得到恶意程序内存特征。
可选的,所述恶意程序内存特征为64位内存特征或32位内存特征。
可选的,对所述初始配置文件进行解密,得到解密配置文件,包括以下步骤:
获取内存恶意程序进程中与所述初始配置文件对应的第一密钥;
通过所述第一密钥对所述初始配置文件进行解密,得到解密配置文件。
可选的,根据所述解密配置文件构造若干组干扰请求包,并将若干组所述干扰请求包重复发送至服务端,包括以下步骤:
获取所述解密配置文件内的干扰基础数据,并将所述干扰基础数据按照JSON格式进行罗列;
根据所述干扰基础数据,获取服务端的IP地址、服务端进行恶意程序存储至主机的端口号、服务端的发包请求URL路径和主机的虚假基础信息;
获取所述解密配置文件内的RSA公钥,并根据RSA公钥对所述虚假基础信息进行加密,得到加密虚假基础信息;
将所述服务端的IP地址、服务端进行恶意程序存储至主机的端口号、服务端的发包请求URL路径和加密虚假基础信息生成若干组主机干扰数据,并根据AES算法,对每组所述主机干扰数据生成第二密钥;
将每一组所述主机干扰数据和对应的第二密钥进行打包,并通过RSA加密方法,得到若干组干扰请求包;
将每组所述干扰请求包通过服务端的发包请求URL路径重复发送至服务端。
可选的,判断服务端是否下发攻击者任务,包括以下步骤:
将干扰请求包发送至服务端后,判断服务端是否下发返回数据;
若是,则服务端下发过攻击者任务;
若否,则服务端未下发过攻击者任务。
可选的,所述攻击者任务为根据AES算法进行加密过的任务数据。
可选的,所述构造干扰结果,包括以下步骤:
获取服务端发送给主机的攻击者任务,通过所述第二密钥对所述攻击者任务进行解密,得到明文数据;
根据所述明文数据,构造虚假任务执行结果,并通过AES加密方法对所述虚假任务执行结果进行加密,得到干扰结果。
可选的,所述虚假基础信息包括主机IP地址、主机用户名、主机名称、主机程序名、主机进程控制符和主机架构。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现上述任意一项所述的干扰恶意程序的方法。
采用本申请提供的技术方案,与现有技术相比,具有如下有益效果:
通过对CS恶意程序进程的恶意程序堆信息进行特征分析,得到恶意程序内存特征,从而使得开发者能够根据恶意程序内存特征编写出用于识别内存恶意程序进程的检测规则,进而扫描出存储在主机内存中的内存恶意程序进程,然后通过直接从内存恶意程序进程中获取到CS恶意程序的初始配置文件,从而使开发者通过初始配置文件逐步构造出用于迷惑并干扰攻击者的干扰请求包和干扰结果,通过将干扰请求包重复上传至服务端的方法,给攻击者制造干扰请求包中的信息均为真实主机信息的假象,起到迷惑、干扰攻击者的作用,同时通过干扰结果的反馈,更进一步真实地模拟了主机被攻击者恶意程序控制的场景,从而提高了干扰恶意程序控制的迷惑性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本实施例一提出的一种干扰恶意程序的方法流程图。
具体实施方式
下面结合实施例对本申请做进一步的详细说明,以下实施例是对本申请的解释而本申请并不局限于以下实施例。
实施例一
如图1所示,一种干扰恶意程序的方法,包括以下步骤:根据CS恶意程序进程获取恶意程序堆信息,并进行特征分析得到恶意程序内存特征,将恶意程序内存特征编写为检测规则;遍历主机运行时的每一个进程内存的堆信息,并根据检测规则,扫描出内存恶意程序进程,当CS恶意程序下发至主机后,会存储在进程内存中,因此需要在主机运行时,将携带有CS恶意程序的内存恶意程序进程进行识别出来,然后针对该恶意程序进行干扰对抗。
根据CS恶意程序进程获取恶意程序堆信息,并进行特征分析得到恶意程序内存特征,具体包括以下步骤:通过蓝屏分析工具对恶意程序堆信息进行分析,得到分析结果;根据分析结果对恶意程序堆信息进行区分,得到恶意程序内存特征。
开发者使用Windows调试工具,即Windbg对恶意程序堆信息进行分析,Windbg通过查看堆恶意程序堆信息中存储的信息,可以得出不同的恶意程序内存特征,例如64位内存特征或32位内存特征,其中,64位内存特征的规则配置形式为:
"$sdec={"+
"00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00"+
"01 00 00 00 00 00 00 00(00|01|02|04|08|10)00 00 00 00 00 00 00"+
"01 00 00 00 00 00 00 00????00 00 00 00 00 00"+
"02 00 00 00 00 00 00 00????????00 00 00 00"+
"02 00 00 00 00 00 00 00????????00 00 00 00"+
"01 00 00 00 00 00 00 00????00 00 00 00 00 00"+
"}"+
而32位内存特征特征的规则配置形式为:
"$sdec={"+
"00 00 00 00 00 00 00 00"+
"01 00 00 00(00|01|02|04|08|10)00 00 00"+
"01 00 00 00????00 00"+
"02 00 00 00????????"+
"02 00 00 00????????"+
"01 00 00 00????00 00"+
"}"+。
从而,开发者在编写检测规则时,可以根据恶意程序的64位内存特征以及32位内存特征,进行针对性的编写不同的检测规则,该检测规则可以通过yara工具的语法进行编写。
从内存恶意程序进程中获取初始配置文件,并对初始配置文件进行解密,得到解密配置文件,具体的,包括以下步骤:获取内存恶意程序进程中与初始配置文件对应的第一密钥;通过第一密钥对所述初始配置文件进行解密,得到解密配置文件。
CS服务端生成配置文件后,会通过XOR加密方法对配置文件进行加密,得到加密配置文件和第一密钥,因此在内存恶意程序进程中存在初始配置文件和对应的第一密钥,且不同版本的CobaltStrike使用不同的加密key字节,其第一密钥也会不同,例如3.X版本使用0×69,而4.X版本使用0×2E,该值为通过逆向CobaltStrike代码发现。
具体的,内存恶意程序进程中的初始配置文件为CS服务端下发的经过XOR加密方法加密后的配置文件,因此当开发者需下载初始配置文件时,还需获取第一密钥,并通过第一密钥对加密配置文件进行解密,得到解密配置文件,并根据解密配置文件构造若干组干扰请求包,并将若干组干扰请求包重复发送至服务端,具体的包括以下步骤:获取解密配置文件内的干扰基础数据,并将干扰基础数据按照JSON格式进行罗列;
解密配置文件包含很多内容,其中只需列出后期需要上线使用以及与CS服务端交互所需的关键信息,即罗列出干扰基础数据即可,然后通过JSON格式罗列。
其中,干扰基础数据包括Port信息、PublicKey信息、C2Server信息、HttpGet_Metadata信息、HttpPost_Metadata信息、HttpPostUri信息和UserAgent信息,具体的,Port为CS服务端接收主机信息的端口号;PublicKey为RSA公钥,后期主机上线时将使用RSA公钥加密自己的数据再发送至CS服务端;C2Server为主机上线信息的地址;HttpGet_Metadata为主机发送GET请求的数据格式;HttpPost_Metadata为主机发送POST请求的数据格式;HttpPostUri为主机发送POST请求的地址;UserAgent的中文名为用户代理,发请求时需要用到。
完成罗列后,根据干扰基础数据,获取服务端的IP地址、Port、服务端的发包请求URL路径和主机的虚假基础信息,其中Port为服务端进行恶意程序存储至主机的端口号,具体的,以上述解密配置文件的内容为例,从C2Server参数中获取CS服务端的IP和发包请求URL路径,再加上Port和主机的虚假基础信息,其中虚假基础信息包括虚假构造的被控主机的主机名称、IP地址、系统结构等信息。
由于经过流量分析,发现CobaltStrike上线使用GET请求,并且会将要上报信息进行base64编码后存储在Cookie字段中,因此在进行干扰恶意程序时,重点就是如何构造这个Cookie信息,从而使攻击者使用的CobaltStrike客户端的界面出现很多开发者构造的虚假的主机,进而让攻击者分不清哪些是真正被控制的主机,从而扰乱攻击者视线,拖延攻击者的攻击速度。
具体的,在获取到虚假基础信息的数据后,还需要获取解密配置文件内的RSA公钥,并根据RSA公钥对虚假基础信息进行加密,从而得到加密虚假基础信息,然后将服务端的IP地址、服务端进行恶意程序存储至主机的端口号、服务端的发包请求URL路径和加密虚假基础信息生成若干组主机干扰数据,并根据AES算法,对每组主机干扰数据生成第二密钥。
其中,虚假基础信息还包括主机用户名、主机程序名、主机进程控制符和主机架构,开发者通过构造的虚假基础信息,从而扰乱攻击者视线,例如,IP地址虚假设置为192.168.2.56;用户名虚假设置为admin;电脑名称虚假设置为DESKTOP-ZJJZ0AZ;程序名称虚假设置为cmd.exe;Pid虚假设置为8100;架构虚假设置为x64,其中Pid即为职级进程控制符,根据该虚假设置方式,得到若干组主机干扰数据,其中虚假基础信息的虚假设置的方法为使用s.urandom方法,即python语言中自带返回随机字节字符串函数实现,使得需要构造的虚假参数通过随机生成的方式实现。
生成主机干扰数据的虚假设置后,将每一组主机干扰数据和对应的第二密钥进行打包,并通过RSA加密方法得到若干组干扰请求包;将每组干扰请求包通过服务端的发包请求URL路径重复发送至服务端。
具体的,对于构造的虚假基础信息,还需要按照配置文件中的要求对其进行编码,并且对于主机干扰数据而言,还需一个32位的AES密钥,只需通过AES算法生成即可,即第二密钥,然后将主机干扰数据与对应的第二密钥进行打包,同时为使打包后的主机干扰数据与对应的第二密钥能够发送至CS服务端,还需要通过RSA加密方法再一次加密后,从而得到干扰请求包,方能达到发送要求,然后将干扰请求包按照配置文件中的要求存储在制定位置,例如Cookie中,即可将干扰请求包通过发包请求URL路径发送至CS服务端,从而使得攻击者的界面显示多条虚假主机信息。
其中,AES密钥是对接口请求和响应内容进行加密,密文无法被第三方识别,防止接口传输数据泄露。
另一方面,由于cobaltstrike对请求的格式有要求,我们还需要对干扰请求包的请求头的user-agent和Accept-encoding这些参数进行配置,例如干扰请求包的请求头格式可以如下设置:{'User-Agent':”,'Accept-Encoding':'gzip,deflate',}。
在不断发送加密后的干扰请求包至CS服务端后,虽然攻击者的界面上会出现多条虚假的主机信息,但由于显示的是构造的虚假主机信息,当攻击者对这些虚假主机信息下发命令后,虚假主机并不会执行下发的命令,当攻击者得不到命令执行结果,便会快速发现,此为构造的虚假主机信息。
另一方面,在攻击者的CS客户端界面的最后有一栏“last”,这是主机最近一次获取任务的时间,这个获取任务的时间间隔在攻击者生成恶意程序时就已经被设定,通常是60秒,之后攻击者可以通过下发任务修改这个时间,两次获取任务的时间间隔通常也被称作为“心跳时间”,例如当“last”栏显示的是8m时,说明这个主机已经8分钟没有到CS服务端获取任务了,如果主机长时间没有获取任务,时间超过攻击者设定的时间,将不能够迷惑攻击者。
基于此,为解决心跳时间问题,在发送干扰请求包至CS服务端后,每条干扰请求包都需要进行重复发送动作,以此证明该虚假构造的主机是能够获取攻击者任务的,同时,还需要判断服务端是否下发攻击者任务,具体的,包括以下步骤:将干扰请求包发送至服务端后,判断服务端是否下发返回数据;若是,则服务端下发过攻击者任务;若否,则服务端未下发过攻击者任务。
若服务端下发过攻击者任务,则构造干扰结果发送至服务端,若服务端未下发过攻击者任务,则继续重复发送干扰请求包至服务端,由于攻击者任务为根据AES算法进行加密过的任务数据,因此,在进行构造干扰结果时,需要先获取服务端发送给主机的攻击者任务,然后通过第二密钥对攻击者任务进行解密,得到明文数据;根据明文数据,构造虚假任务执行结果,并通过AES加密方法对虚假任务执行结果进行加密,得到干扰结果,其中明文数据为类似“shell ipconfig”,则代表查看主机的IP信息。
具体的,主机不需要真正的去执行攻击者任务,而是根据攻击者任务编造一个虚假任务执行结果发送给CS服务端,具体编造的方法为,将虚假任务执行结果与此前设置好的“任务字典”进行匹配,若匹配成功,则返回这个虚假任务执行结果,如果没有匹配成功,则返回一个“权限不足”给CS服务端,需要说明的是,“任务字典”是开发者预先设置好的攻击者任务与虚假任务执行结果一一对应的程序,而“权限不足”则指的是当攻击者任务不在任务字典内时,主机则直接反馈无法执行的“权限不足”给CS服务端,这也符合主机在实际执行任务时,选择性执行任务的规律,因此不会引起攻击者的注意,使攻击者一直被迷惑为,本台主机已被其控制。
例如,若主机执行ipconfig命令后的结果的IPv4地址是192.168.8.103,开发者可将其IPv4地址修改成192.168.17.158,默认网关进行修改成空,然后将修改过的信息进行打包得到虚假任务执行结果,并加密后得到干扰结果,最后通过发包请求URL路径发送至CS服务端,从而既解决了心跳问题,又提高了构造的虚假主机的真实性,进而对攻击者起到干扰其恶意程序控制,迷惑其控制行为的目的。
实施例二
一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时,实现上述任意一项的干扰的方法。
计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线段的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线段、电线段、光缆、RF等等,或者上述的任意合适的组合。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块、模组或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元、模组或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。
所述单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分从网络上被下载和安装,和/或从可拆卸介质被安装。在该计算机程序被中央处理单元(CPU)执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线段、或半导体的系统、装置或器件,或者任意以上的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何在本发明揭露的技术范围内的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种干扰恶意程序的方法,其特征在于,包括以下步骤:
根据CS恶意程序进程获取恶意程序堆信息,并进行特征分析得到恶意程序内存特征,将所述恶意程序内存特征编写为检测规则;
遍历主机运行时的每一个进程内存的堆信息,并根据所述检测规则,扫描出内存恶意程序进程;
从内存恶意程序进程中获取初始配置文件,并对所述初始配置文件进行解密,得到解密配置文件;
根据所述解密配置文件构造若干组干扰请求包,并将若干组所述干扰请求包重复发送至服务端;
判断服务端是否下发攻击者任务,若是,则构造干扰结果发送至服务端,若否,则继续重复发送干扰请求包至服务端。
2.根据权利要求1所述的一种干扰恶意程序的方法,其特征在于,根据CS恶意程序进程获取恶意程序堆信息,并进行特征分析得到恶意程序内存特征,包括以下步骤:
通过Windows调试工具对所述恶意程序堆信息进行分析,得到分析结果;
根据所述分析结果对所述恶意程序堆信息进行区分,得到恶意程序内存特征。
3.根据权利要求2所述的一种干扰恶意程序的方法,其特征在于,所述恶意程序内存特征为64位内存特征或32位内存特征。
4.根据权利要求1所述的一种干扰恶意程序的方法,其特征在于,对所述初始配置文件进行解密,得到解密配置文件,包括以下步骤:
获取内存恶意程序进程中与所述初始配置文件对应的第一密钥;
通过所述第一密钥对所述初始配置文件进行解密,得到解密配置文件。
5.根据权利要求1所述的一种干扰恶意程序的方法,其特征在于,根据所述解密配置文件构造若干组干扰请求包,并将若干组所述干扰请求包重复发送至服务端,包括以下步骤:
获取所述解密配置文件内的干扰基础数据,并将所述干扰基础数据按照JSON格式进行罗列;
根据所述干扰基础数据,获取服务端的IP地址、服务端进行恶意程序存储至主机的端口号、服务端的发包请求URL路径和主机的虚假基础信息;
获取所述解密配置文件内的RSA公钥,并根据RSA公钥对所述虚假基础信息进行加密,得到加密虚假基础信息;
将所述服务端的IP地址、服务端进行恶意程序存储至主机的端口号、服务端的发包请求URL路径和加密虚假基础信息生成若干组主机干扰数据,并根据AES算法,对每组所述主机干扰数据生成第二密钥;
将每一组所述主机干扰数据和对应的第二密钥进行打包,并通过RSA加密方法,得到若干组干扰请求包;
将每组所述干扰请求包通过服务端的发包请求URL路径重复发送至服务端。
6.根据权利要求1所述的一种干扰恶意程序的方法,其特征在于,判断服务端是否下发攻击者任务,包括以下步骤:
将干扰请求包发送至服务端后,判断服务端是否下发返回数据;
若是,则服务端下发过攻击者任务;
若否,则服务端未下发过攻击者任务。
7.根据权利要求6所述的一种干扰恶意程序的方法,其特征在于,所述攻击者任务为根据AES算法进行加密过的任务数据。
8.根据权利要求7所述的一种干扰恶意程序的方法,其特征在于,所述构造干扰结果,包括以下步骤:
获取服务端发送给主机的攻击者任务,通过所述第二密钥对所述攻击者任务进行解密,得到明文数据;
根据所述明文数据,构造虚假任务执行结果,并通过AES加密方法对所述虚假任务执行结果进行加密,得到干扰结果。
9.根据权利要求5所述的一种干扰恶意程序的方法,其特征在于,所述虚假基础信息包括主机IP地址、主机用户名、主机名称、主机程序名、主机进程控制符和主机架构。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-9任意一项所述的干扰恶意程序的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111534780.4A CN114244599B (zh) | 2021-12-15 | 2021-12-15 | 一种干扰恶意程序的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111534780.4A CN114244599B (zh) | 2021-12-15 | 2021-12-15 | 一种干扰恶意程序的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244599A true CN114244599A (zh) | 2022-03-25 |
| CN114244599B CN114244599B (zh) | 2023-11-24 |
Family
ID=80756338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111534780.4A Active CN114244599B (zh) | 2021-12-15 | 2021-12-15 | 一种干扰恶意程序的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244599B (zh) |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1648812A (zh) * | 2004-01-30 | 2005-08-03 | 微软公司 | 无代码文件的检测 |
| US20090007270A1 (en) * | 2007-06-26 | 2009-01-01 | Core Sdi, Inc | System and method for simulating computer network attacks |
| CN101593249A (zh) * | 2008-05-30 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN103679025A (zh) * | 2013-11-26 | 2014-03-26 | 南京邮电大学 | 一种基于树突细胞算法的恶意代码检测方法 |
| CN104021343A (zh) * | 2014-05-06 | 2014-09-03 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和系统 |
| WO2015196982A1 (zh) * | 2014-06-27 | 2015-12-30 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
| US20160119374A1 (en) * | 2014-10-28 | 2016-04-28 | International Business Machines Corporation | Intercepting, decrypting and inspecting traffic over an encrypted channel |
| CN109543414A (zh) * | 2018-11-02 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种基于cs架构app账户的智能加固防护系统及方法 |
| CN110362998A (zh) * | 2019-06-25 | 2019-10-22 | 苏州浪潮智能科技有限公司 | 一种检测KVM虚拟化平台上Windows恶意程序的方法和系统 |
| CN110417768A (zh) * | 2019-07-24 | 2019-11-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种僵尸网络的跟踪方法及装置 |
| CN110837644A (zh) * | 2019-10-15 | 2020-02-25 | 深圳开源互联网安全技术有限公司 | 一种系统渗透测试方法、装置及终端设备 |
| CN111737692A (zh) * | 2020-08-17 | 2020-10-02 | 腾讯科技(深圳)有限公司 | 应用程序的风险检测方法及装置、设备、存储介质 |
| CN112019548A (zh) * | 2020-08-28 | 2020-12-01 | 重庆可兰达科技有限公司 | 防止恶意攻击的自定义接口签名方法、服务器及系统 |
| CN112560090A (zh) * | 2020-12-15 | 2021-03-26 | 建信金融科技有限责任公司 | 一种数据检测方法和装置 |
| CN112699373A (zh) * | 2020-12-24 | 2021-04-23 | 山东鲁能软件技术有限公司 | 一种sql注入漏洞批量检测的方法及装置 |
| CN112751864A (zh) * | 2020-12-30 | 2021-05-04 | 招联消费金融有限公司 | 网络攻击反制系统、方法、装置和计算机设备 |
| CN113704659A (zh) * | 2021-09-08 | 2021-11-26 | 杭州默安科技有限公司 | 一种设备终端访问标记方法和系统 |
| CN113761527A (zh) * | 2020-07-01 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种反弹shell进程检测方法、装置、设备及存储介质 |
| CN114244600A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
-
2021
- 2021-12-15 CN CN202111534780.4A patent/CN114244599B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1648812A (zh) * | 2004-01-30 | 2005-08-03 | 微软公司 | 无代码文件的检测 |
| US20090007270A1 (en) * | 2007-06-26 | 2009-01-01 | Core Sdi, Inc | System and method for simulating computer network attacks |
| CN101593249A (zh) * | 2008-05-30 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN103679025A (zh) * | 2013-11-26 | 2014-03-26 | 南京邮电大学 | 一种基于树突细胞算法的恶意代码检测方法 |
| CN104021343A (zh) * | 2014-05-06 | 2014-09-03 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和系统 |
| WO2015196982A1 (zh) * | 2014-06-27 | 2015-12-30 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
| US20160119374A1 (en) * | 2014-10-28 | 2016-04-28 | International Business Machines Corporation | Intercepting, decrypting and inspecting traffic over an encrypted channel |
| CN109543414A (zh) * | 2018-11-02 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种基于cs架构app账户的智能加固防护系统及方法 |
| CN110362998A (zh) * | 2019-06-25 | 2019-10-22 | 苏州浪潮智能科技有限公司 | 一种检测KVM虚拟化平台上Windows恶意程序的方法和系统 |
| CN110417768A (zh) * | 2019-07-24 | 2019-11-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种僵尸网络的跟踪方法及装置 |
| CN110837644A (zh) * | 2019-10-15 | 2020-02-25 | 深圳开源互联网安全技术有限公司 | 一种系统渗透测试方法、装置及终端设备 |
| CN113761527A (zh) * | 2020-07-01 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种反弹shell进程检测方法、装置、设备及存储介质 |
| CN111737692A (zh) * | 2020-08-17 | 2020-10-02 | 腾讯科技(深圳)有限公司 | 应用程序的风险检测方法及装置、设备、存储介质 |
| CN112019548A (zh) * | 2020-08-28 | 2020-12-01 | 重庆可兰达科技有限公司 | 防止恶意攻击的自定义接口签名方法、服务器及系统 |
| CN112560090A (zh) * | 2020-12-15 | 2021-03-26 | 建信金融科技有限责任公司 | 一种数据检测方法和装置 |
| CN112699373A (zh) * | 2020-12-24 | 2021-04-23 | 山东鲁能软件技术有限公司 | 一种sql注入漏洞批量检测的方法及装置 |
| CN112751864A (zh) * | 2020-12-30 | 2021-05-04 | 招联消费金融有限公司 | 网络攻击反制系统、方法、装置和计算机设备 |
| CN113704659A (zh) * | 2021-09-08 | 2021-11-26 | 杭州默安科技有限公司 | 一种设备终端访问标记方法和系统 |
| CN114244600A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
Non-Patent Citations (2)
| Title |
|---|
| Z. ALLAF等: ""TrapMP: Malicious Process Detection By Utilising Program Phase Detection"", 《2019 INTERNATIONAL CONFERENCE ON CYBER SECURITY AND PROTECTION OF DIGITAL SERVICES (CYBER SECURITY)》 * |
| 刘晨;李春强;丘国伟;: "基于Cobalt Strike和Office漏洞的入侵者反制研究", 网络空间安全, no. 01 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244599B (zh) | 2023-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10402179B1 (en) | Application randomization mechanism | |
| Kolbitsch et al. | Inspector gadget: Automated extraction of proprietary gadgets from malware binaries | |
| CN111143869B (zh) | 应用程序包处理方法、装置、电子设备及存储介质 | |
| Liu et al. | On manually reverse engineering communication protocols of linux-based iot systems | |
| D’Orazio et al. | Circumventing iOS security mechanisms for APT forensic investigations: A security taxonomy for cloud apps | |
| US20170134347A1 (en) | System amd method for secure transmission of web pages using encryption of their content | |
| KR20180120157A (ko) | 데이터세트 추출 기반 패턴 매칭 | |
| US8291227B2 (en) | Method and apparatus for secure communication | |
| CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| CN113438086A (zh) | 一种数据安全防护方法和系统 | |
| CN110417768B (zh) | 一种僵尸网络的跟踪方法及装置 | |
| US11444970B2 (en) | Dynamic security test system | |
| CN109284585A (zh) | 一种脚本加密方法、脚本解密运行方法和相关装置 | |
| US10970264B2 (en) | Supporting secure layer extensions for communication protocols | |
| US10284592B1 (en) | Application randomization mechanism | |
| US20140026217A1 (en) | Methods for identifying key logging activities with a portable device and devices thereof | |
| US11595436B2 (en) | Rule-based dynamic security test system | |
| Taubmann et al. | DroidKex: Fast extraction of ephemeral TLS keys from the memory of Android apps | |
| CN111163094A (zh) | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 | |
| CN113630412B (zh) | 资源下载方法、资源下载装置、电子设备以及存储介质 | |
| Vella et al. | RV-TEE: secure cryptographic protocol execution based on runtime verification | |
| CN114244600B (zh) | 一种干扰恶意程序的方法 | |
| Lee et al. | Classification and analysis of security techniques for the user terminal area in the internet banking service | |
| CN115828228B (zh) | 一种验证内存马检测能力的方法、装置及电子设备 | |
| EP2873023B1 (en) | Technique for determining a malign or non-malign behavior of an executable file |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 1st Floor, Building 3, No. 2616, Yuhangtang Road, Cangqian Street, Yuhang District, Hangzhou City, Zhejiang Province, 311100 Applicant after: HANGZHOU MOAN TECHNOLOGY CO.,LTD. Address before: 311100 10th floor, Block E, building 1, 1378 Wenyi West Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province Applicant before: HANGZHOU MOAN TECHNOLOGY CO.,LTD. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |