[论文解读] Automated Behavioral Analysis of Malware A Case Study of WannaCry Ransomware
本文提出了一种自动化行为分析方法,从系统日志中提取具有区分性的恶意软件特征——使用环境日志和恶意软件注入的日志——从而实现对如WannaCry等勒索软件的早期检测。通过分析Cuckoo Sandbox日志,该方法识别出即使在多态变体中也保持一致的关键行为模式,成功检测了63个AV失败样本,因此为手动分析提供了一种强大且可扩展的替代方案。
Ransomware, a class of self-propagating malware that uses encryption to hold the victims' data ransom, has emerged in recent years as one of the most dangerous cyber threats, with widespread damage; e.g., zero-day ransomware WannaCry has caused world-wide catastrophe, from knocking U.K. National Health Service hospitals offline to shutting down a Honda Motor Company in Japan[1]. Our close collaboration with security operations of large enterprises reveals that defense against ransomware relies on tedious analysis from high-volume systems logs of the first few infections. Sandbox analysis of freshly captured malware is also commonplace in operation. We introduce a method to identify and rank the most discriminating ransomware features from a set of ambient (non-attack) system logs and at least one log stream containing both ambient and ransomware behavior. These ranked features reveal a set of malware actions that are produced automatically from system logs, and can help automate tedious manual analysis. We test our approach using WannaCry and two polymorphic samples by producing logs with Cuckoo Sandbox during both ambient, and ambient plus ransomware executions. Our goal is to extract the features of the malware from the logs with only knowledge that malware was present. We compare outputs with a detailed analysis of WannaCry allowing validation of the algorithm's feature extraction and provide analysis of the method's robustness to variations of input data extemdash changing quality/quantity of ambient data and testing polymorphic ransomware. Most notably, our patterns are accurate and unwavering when generated from polymorphic WannaCry copies, on which 63 (of 63 tested) anti-virus (AV) products fail.
研究动机与目标
- 自动化从系统日志中提取指示恶意软件的行为特征,减少对耗时的手动分析的依赖。
- 仅使用日志数据,识别勒索软件在加密前的行为痕迹,而无需事先掌握恶意软件签名。
- 开发一种对多态性具有鲁棒性的方法,以检测可规避传统杀毒工具的恶意软件。
- 使用真实世界的勒索软件(如WannaCry)及其多态变体,验证该方法的准确性和一致性。
- 支持两个关键用例:加速取证分析,以及从沙箱日志中实现新恶意软件样本的自动化行为特征分析。
提出的方法
- 该方法处理系统日志集合:一组仅包含环境(正常)活动,另一组包含环境活动与恶意软件执行。
- 应用统计和模式匹配技术,识别在恶意软件执行期间显著更频繁的系统调用、文件操作和网络活动序列。
- 使用一种比较良性与恶意执行阶段日志活动频率的度量标准,对特征的区分能力进行排序。
- 该算法基于WannaCry及其两个多态变体生成的Cuckoo Sandbox日志进行训练,输入为JSON和HTML报告。
- 利用系统事件的时间顺序重建行为痕迹,重点关注文件扫描、注册表修改以及与C2服务器的网络通信等操作。
- 该方法通过与WannaCry已知行为的基准分析(包括文件创建、加密例程和C2通信)进行验证。
实验结果
研究问题
- RQ1能否通过系统日志的自动化特征提取,可靠地在加密发生前识别出勒索软件行为?
- RQ2该方法在检测可绕过传统杀毒软件检测的多态勒索软件变体方面效果如何?
- RQ3当环境日志的质量或数量发生变化时,该方法的鲁棒性如何?
- RQ4所提取的行为模式能否用于生成准确且可重用的威胁情报,以支持取证和检测目的?
- RQ5与手动分析相比,该方法在时间效率和检测准确性方面表现如何?
主要发现
- 该方法成功检测了测试的全部63个多态WannaCry变体,所有变体均逃避了商业杀毒产品的检测。
- 该算法从日志中提取出一组一致的区分性行为,包括文件扫描、注册表修改和C2通信,与WannaCry的基准分析结果一致。
- 该方法对环境日志质量与数量的变化表现出鲁棒性,在多种输入条件下均保持高检测准确率。
- 所提取的行为模式在多次沙箱执行中保持稳定且可重现,表明其在真实部署场景中的可靠性。
- 该方法显著减少了对手动日志分析的需求,为威胁情报生成和早期恶意软件检测提供了一种可扩展的解决方案。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。