3.3.2 粗略分析与筛选
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.3.2 粗略分析与筛选,收集样本之后,接下来要通过Cuckoo分析引擎进行分析[26]。Cuckoo引擎是一个自动化的恶意软件分析程序,它在虚拟机沙箱中运行可执行文件,并报告其行为。报告的事项包括主机连接关系、DNS查询、执行的系统调用、丢弃的文件、访问的注册表等信息。由于我们主要关注展示网络活动中恶意软件的影响,所以首先要缩小,或者说选择有意义的恶意软件,一般这种样本都是要与外部主机相连的。在某些情况下,Cuckoo将标记特定的IP作为与外部主机连接的地址,但是这表示可执行文件中的硬编码的“回调”地址。硬编码IP不常用于现代恶意软件中,这是因为防御方只需要将其IP列为黑名单或防火墙的拦截对象即可轻松进行防御。
更常见的是对文件共享服务器进行DNS查询,这可能表明恶意软件正在尝试下载辅助包载荷。在其他恶意软件样本中,DNS查询看似是随机的,这表示存在DNS fluxing。DNS fluxing(即使用域生成算法)是一种恶意软件根据特定算法生成域名的技术,通过搜索链接到命令和控制(C2)服务器的域名。恶意软件所有者使用相同的算法来生成和注册域,其意图是通过生成的名称与命令和控制服务器相连。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一3.3.2 粗略分析与筛选
