吉隆·基拉特(Dhilung Kirat)、乔瓦尼·维格纳(Giovanni Vigna)和克里斯托弗·克鲁格尔(Christopher Kruegel),加州大学圣巴巴拉分校
恶意软件的数量和复杂性不断增加和演变。自动动态恶意软件分析是一种广泛采用的检测恶意软件的方法。然而,许多最近的恶意软件样本试图通过识别分析环境本身的存在来逃避检测,并避免执行恶意操作。由于恶意软件作者使用的技术非常复杂,到目前为止,对规避恶意软件的分析和检测在很大程度上是一个手动过程。自动检测这些规避恶意软件样本的一种方法是在多个分析环境中执行相同的样本,然后比较其行为,假设行为中的偏差是试图规避一个或多个分析系统的证据。因此,重要的是要提供一个参考系统(通常称为裸介质),在该系统中,在不使用任何可检测组件的情况下分析恶意软件。
在本文中,我们提出了BareCloud,一种基于赤裸裸动态恶意软件分析的自动规避恶意软件检测系统。我们的裸机分析系统不会在恶意软件执行平台中引入任何客内监控组件。这使得我们的方法更加透明,对复杂的规避技术更加稳健。我们将裸机系统中观察到的恶意软件行为与其他流行的恶意软件分析系统进行了比较。我们引入了一种新的基于层次相似性的恶意软件行为比较方法,以分析各种分析系统中样本的行为。我们的实验表明,与以前的方法相比,我们的方法产生了更好的规避检测结果。BareCloud能够自动检测到110005个最近样本中的5835个规避恶意软件。
USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。
下载音频