引言

惡意軟件的持續(xù)演變對(duì)全球組織構(gòu)成了嚴(yán)峻威脅，導(dǎo)致破壞性數(shù)據(jù)泄露、運(yùn)營(yíng)中斷和巨額經(jīng)濟(jì)損失。根據(jù)2023年數(shù)據(jù)泄露調(diào)查報(bào)告，40%的數(shù)據(jù)泄露事件涉及惡意軟件[1-2]。近年來(lái)，高級(jí)持續(xù)性威脅(APT)攻擊日益頻繁，攻擊者不斷采用新的技術(shù)來(lái)繞過(guò)安全防御[3-6]。其中，利用組件對(duì)象模型(COM)接口進(jìn)行行為混淆已成為一種常見(jiàn)的攻擊手段。COM接口允許程序跨進(jìn)程調(diào)用組件的功能，惡意軟件可以利用COM接口在受信任進(jìn)程中執(zhí)行惡意代碼，從而繞過(guò)傳統(tǒng)的基于進(jìn)程行為的檢測(cè)[7]。

然而，當(dāng)前的解決方案對(duì)基于COM的惡意行為的檢測(cè)能力有限，主要原因是COM調(diào)用涉及多個(gè)進(jìn)程，難以追蹤惡意行為的源頭，目前采用黑名單的方式攔截組件執(zhí)行特定操作，或利用白名單的方式限制組件執(zhí)行效果，但黑名單機(jī)制無(wú)法有效防御未知COM接口，而白名單機(jī)制很容易通過(guò)修改進(jìn)程名稱的方式繞過(guò)。為了解決這一難題，本文提出了一種名為COMLink的實(shí)時(shí)溯源系統(tǒng)，該系統(tǒng)基于COM調(diào)用中客戶端與服務(wù)器進(jìn)程間數(shù)據(jù)交換的數(shù)據(jù)關(guān)聯(lián)特性，實(shí)現(xiàn)了惡意行為的線程級(jí)關(guān)聯(lián)。COMLink通過(guò)以下方式實(shí)現(xiàn)：(1) 使用系統(tǒng)級(jí)鉤子監(jiān)控COM調(diào)用的通信過(guò)程；(2) 提取COM調(diào)用時(shí)通信中的關(guān)鍵數(shù)據(jù)；(3) 基于最大前綴的相似度算法關(guān)聯(lián)跨進(jìn)程的數(shù)據(jù)；(4) 最終將惡意行為追溯到發(fā)起線程。本文的主要貢獻(xiàn)在于提出了一種有效的COM惡意調(diào)用溯源方法，并驗(yàn)證了其在實(shí)際攻擊場(chǎng)景中的有效性。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://m.jysgc.com/resource/share/2000006687

作者信息：

袁偉峰，沙樂(lè)天，潘家曄

（南京郵電大學(xué) 計(jì)算機(jī)學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 210023）