內核級惡意程序監控與測評系統的設計與實現

顏建林 張蕊蕊

摘 要 隨著病毒木馬技術的發展，傳統的依賴特征碼查殺病毒木馬的方法不能很好地查殺病毒木馬。病毒木馬可以通過加殼，混淆等方法繞過特征碼查殺。同時近年來，勒索軟件的流行，大部分殺毒軟件針對已存在的勒索軟件進行防御，卻不能很好的防御未知或者新型的勒索軟件，因此找到一種能夠防御已知和未知的勒索軟件的方法就顯的尤為重要。針對病毒木馬，本軟件沒有采用基于特征碼的方式去檢查，而是采用了在內核中對各個關鍵點進行監測，以此來避免用戶層的監測被病毒木馬繞過的情況。同時在對病毒木馬行為監測的同時會對關鍵數據進行記錄，如注入的數據，操作的文件，注冊表敏感位置的修改，能夠極大的減少后續人工逆向分析的時間。本文采用了多種方法進行防御勒索軟件：通過放置陷阱文件，監測進程的文件讀寫數量，記錄每個進程最近讀寫文件的內容，能盡最大的可能發現勒索軟件的存在，同時減少錯誤中止進程的概率。

關鍵詞 行為分析；勒索軟件；檢測；惡意軟件；網絡安全

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）217-0110-03

1 惡意軟件的發展和現狀

惡意軟件是病毒，木馬，流氓軟件等一系列軟件的總稱。在早期個人計算機運算能力不足，存儲容量不夠的情況下，流行的主要是以破壞為目的或者黑客以炫耀技術為目的的病毒。Mcafee在他們的2016年度報告中稱2016年為勒索軟件之年，就可以看出勒索軟件在近年來的發展趨勢。勒索軟件流行不僅僅是因為個人計算機上存儲的敏感數據增多，相比其他類型的木馬勒索軟件更具隱蔽性，更容易逃過殺毒軟件的查殺，而且一旦受害者計算機被感染后只能選擇交付贖金解密也是勒索軟件流行的一個原因。比較知名的勒索軟件有TeslaCrypt，CryptXXX，Jigsaw等，目前在多數情況下，被勒索軟件加密的文件無法解密，只有少數存在設計缺陷如密鑰管理不當，密鑰空間過小的勒索軟件能夠被解密。

2 惡意軟件防御與檢測現狀

早期惡意軟件數量較少時，多數殺毒軟件，防火墻檢測惡意軟件的方法都是特征碼掃描，在這個時期，特征碼掃描的方法是較為準確可靠的。但是，在Mcafee的2016年度報告中，僅2016年第2季度就有6億惡意軟件被檢測到。因此傳統的特征碼掃描在惡意軟件大量增多的情況下，就顯得十分不可靠，低效率。

現在大部分殺毒軟件都開始采用動態行為分析，云端檢測等多種方法來查殺惡意軟件，也有部分安全產品使用了機器學習來查殺惡意軟件。但是勒索軟件比較容易繞過這些防御手段，主要在于勒索軟件相比其他惡意軟件可能不會有添加開機啟動項，頻繁聯網，修改注冊表等操作。目前主要是通過放置陷阱文件，備份，以及基于機器學習，通過行為分析，布置蜜罐等方法來防御勒索軟件的。

3 系統設計與實現

3.1 用戶層管理與顯示模塊

該模塊是本程序中用戶唯一可見的模塊，主要起到初始化整個程序，顯示惡意進程處理結果，轉發模塊之間消息的作用。為了提高通信效率，采用了多線程的方式在多模塊之間進行消息傳遞。

3.1.1 初始化

該模塊會使用net start命令啟動已經安裝在操作系統中的其他模塊，然后運行，針對不同的模塊，分別創建線程進行通信。

3.1.2 通信信息處理

在進行通信前需要定義好通信協議的結構，同時要確定通信的發起方。在文件過濾模塊與用戶層通信時，用戶層首先與驅動建立連接，確定通信端口，之后用戶層的通信線程一直處于循環中，等待內核發來消息。當過濾模塊監測到異常文件操作時會將信息按預先定義好的結構發向用戶層，當有消息發來時，用戶層的線程會接收消息，按格式提取出進程信息，并將該消息發向其他驅動中。

用戶層與行為分析基礎框架模塊進行通信時采用的時DeviceIoControl函數，需要預先定義對應的控制碼類型，如TYPE_RANSOMEWARE是關于勒索軟件信息，TYPE_INJECT是關于進程注入的信息。當存在勒索軟件時，用戶層軟件會主動向行為分析模塊發生勒索軟件信息，行為分析模塊嘗試中止勒索軟件后將處理結果返回。但是當用戶層軟件查詢注入，注冊表等其他敏感操作時，會發起一個對應類型的請求，然后進入阻塞等待狀態，直到有對應類型的惡意操作產生，內核中的行為分析模塊才會進行消息的回復，用戶層的線程接收到消息后會恢復運行，按預先定義的格式提取出敏感操作發起的進程信息。

當系統中存在勒索軟件時，消息的傳遞方向和順序。首先文件過濾模塊會使用FltSendMessage函數將數據按預先定義的格式發向用戶層，用戶層接收到消息后馬上將消息以TYPE_RANSOMEWARE的類型發向行為分析模塊，行為分析模塊中止勒索進程后將處理結果發向用戶層進行顯示。

查詢注入情況的消息處理流程，首先由用戶層發起查詢注入情況的請求，然后進入等待狀態，行為分析模塊會一直再內核中監測注入情況，直到存在注入，才會將消息返回用戶層，會話用戶層線程的運行狀態。

3.2 行為分析基礎模塊

該部分主要是整個程序的基礎部分，用戶層的管理顯示模塊會將其他模塊的信息轉發到這個。比如防御勒索軟件的模塊檢測到勒索軟件，它會將進程與其相關的信息發向用戶層的管理顯示模塊，再由用戶層的管理顯示模塊發向行為分析基礎模塊中去終止該進程。行為分析基礎模塊維護了整個系統中的進程以及進程相關的其他信息，如進程的文件讀寫操作，注冊表操作等。

3.2.1 基礎框架和結構

在操作系統中每個程序都是以進程為單位進行資源的分配。所以最為基礎的是記錄當前操作系統中存在的進程，在程序中以一個自定義的結構保存進程信息。該結構保存了每個進程的文件路徑，父進程信息，以及每個進程的威脅分數。結構體中的score就是威脅分數。一個進程添加了自啟動項，會增加一個自啟動對應的分數，一個進程注入了其他進程會添加一個注入對應的分數，一旦進程威脅分數達到一個閾值就可以判斷這個進程是一個可疑進程。

如果只是記錄單個進程的威脅分數，可能會存在不能檢測到部分惡意軟件的情況。因為現在很大惡意軟件將惡意操作分布到多個進程中執行，所以在程序中還保存了每個進程父進程的信息，如果存在一個惡意軟件創建一個新的進程，并將惡意代碼解密出來，注入到新的進程中執行的情況，雖然兩個進程的威脅分數都沒有達到閾值也會被判斷為可疑進程。

進程的信息需要實時的更新，當有新的進程創建時需要把新進程信息保存下來，當有進程退出時需要將進程信息釋放，避免整個程序信息的不可靠和冗余。因此需要在NtCreateUserProcess等進程相關的API處進行HOOK，系統中所有的進程以雙向鏈表的形式保存，每當有新的進程創建時，將新進程信息寫入鏈表末尾，有進程退出時，將進程信息從鏈表中刪除。

3.2.2 惡意操作監測

在有了之前的基礎上，對惡意操作的監測就是對SSDT中的函數進行hook了。

惡意軟件為了保證自身常駐與操作系統中肯定會想辦法在每次開機時啟動，這可以通過添加注冊表操作的回調函數來進行監測，同時惡意軟件肯定會為了逃避殺軟查殺使用各種小技巧，比如將自身惡意代碼注入正常進程，這可以通過對進程創建和內存讀寫的函數進行hook。

除了上文提到的方法還有以下幾種方法檢測進程注入：

1）針對特殊進程，比如svchost的進程父進程是一個映像文件在D盤中的進程，就可以判斷存在進程注入。

2）當一個進程中的代碼段的屬性為可讀可寫可執行時，也可以判斷存在有殼，注入的情況。

3）比較VAD和PEB中是否都存在主模塊，如果是進程注入，VAD中會不存在主模塊。

對注冊表的監測主要在于對一些啟動項的監測和對一些惡意軟件常常讀取用來判斷自己是否在虛擬機中的位置進行監測。常見的啟動項HKCU＼ Software＼Microsoft＼Windows＼Curr

entVersion＼Policies＼Explorer，Software＼ Microsoft＼Windows＼CurrentVersion＼Run， Software＼Micro

soft＼Windows＼CurrentVersion＼RunOnce等。

還有一些惡意軟件會阻止分析，比如阻止任務管理器的打開，阻止cmd的運行，阻止控制面板的打開等。

在內核中提供了注冊表操作通知的回調接口。可以使用CmRegisterCallback注冊回調函數。在回調函數中可以最任意的注冊表操作進行記錄和監控。

3.3 文件過濾模塊

這個模塊主要使用多種方法結合進行防御勒索軟件。如果只是單純的對短時間內大量讀寫文件的進程進行中斷，錯誤率極高，因此使用了3種方法，分別是陷阱文件是否被修改，文件讀寫數量是否達到閾值，文件讀寫內容是否符合勒索軟件特點。

3.3.1 文件過濾

本系統使用minifilter而不是傳統的文件過濾驅動，當驅動檢查到有異常時會把異常進程的信息通過FltSendMessage發向用戶層，用戶層再將該信息發向保存進程列表的驅動中做進一步的判斷和決定是否中止進程。

3.3.2 陷阱文件

這里模仿的是安全防御中常見的蜜罐的思想，蜜罐是一種故意布置在網絡中存在漏洞或者安全問題的計算機系統，主要的作用是用來提醒網絡管理員去防范某一類攻擊，或者去追溯黑客組織信息。蜜罐中暴露出來的信息實際上都是虛假的或者無意義的。在本防火墻中就布置了類似思想的陷阱文件。陷阱文件的布置由用戶層管理與顯示模塊在初始化時完成。陷阱文件本身的內容是無意義的，但是一旦陷阱文件被加密就可以產生一個警報給操作系統使用者。

除去針對MBR進行加密的勒索軟件，幾乎所有加密文件的勒索軟件會調用FindFirstFile，FindNextFile這兩個API對文件進行遍歷，然后對文件進行加密。所以可以放置一個陷阱文件，實時的監測這個文件的讀寫狀態，如果這個文件被修改就可以判斷有勒索軟件存在，因為這個陷阱文件是無實際意義的文件，一般情況下是不會有進程對其進行修改的，只有勒索文件在遍歷磁盤加密文件時，會對該陷阱文件進行讀寫操作。

3.3.3 文件讀寫數量和內容監測

勒索軟件還有一個特征就是短時間內會進行大量的文件讀寫，因此可以設置一個時間，比如1分鐘，如果在這一分鐘內某一個進程對文件的讀寫超過閾值就可以說這個進程是可疑的，但是很多正常進程同樣會在短時間內會對文件進行大量讀寫，所以在該模塊中對每個進程增加一個結構，保存該進程最近讀取的文件名字和路徑，因為勒索軟件讀取的時候是按照順序來的，那么肯定會對同一目錄下的多個文件進行加密，如果在該結構中檢查到同一個目錄下多個文件，再加上這個進程短時間內有大量的讀寫情況，就能減少誤判的概率。

3.4 網絡流量監測模塊

這個模塊是整個防火墻的最后一道防線，除了勒索軟件的惡意軟件，其他的惡意軟件如DDOS木馬，遠控木馬，竊取敏感信息的木馬最后都會有聯網的操作，一旦能夠在聯網的過程中將其阻止，阻斷其與控制端通信的途徑，即使惡意軟件收集到了足夠多的敏感信息也不會造成損失。

流量監測：

這個模塊需要結合行為分析基礎模塊，一個進程在行為分析的過程中達到威脅的閾值，該模塊的網絡連接就會被中斷。

4 結論

本系統設計了一個基于行為分析檢測的內核級惡意程序監控與分析系統，在內核層對系統關鍵API進行監測，并且對流量進行過濾和記錄就可以在一定程度上避免惡意程序造成的破壞。

參考文獻

[1]譚文，陳銘霖，張佩，等.Windows內核安全與驅動開發[M].北京：電子工業出版社，2015：45-78.

[2]Mark Russinovich，David A.Solomon，Alex Ionescu.深入解析Windows操作系統上冊[M].北京：電子工業出版社，2014：69-127.

[3]Mark Russinovich，David A.Solomon，Alex Ionescu.深入解析Windows操作系統：卷2.北京：人民郵電出版社，2013，200-230.