1. Статистический анализ
для классификации
вредоносного ПО
Докладчик: Цыганок К.В.
Руководитель: Тумоян Е.П.
Южный федеральный университет
Кафедра безопасности информационных
технологий

2. 1. Создание одной сигнатуры для семейства
вирусов - Уменьшение размера баз антивируса -
Улучшение обобщения.
2. Исследование изменения конкретного вируса в
целом - отслеживание источника.
Сейчас выполняется "вручную":
IDA, ProcessExplorer, BinDiff.
Значительное время.
«Ручной» труд квалифицированных специалистов ->
Высокая стоимость анализа.
Актуальность 2

3. Задачи
Проанализировать существующие методы
классификации.
Разработать метод автоматической
классификации.
Реализовать и экспериментально
исследовать разработанный метод.
Цель исследования
Разработка метода автоматической
классификации вредоносного ПО на
основе поведенческих признаков.
3

4. Предыдущие исследования
Работы по статическому анализу
вредоносного кода:
V. Sai Sathyanarayan, Pankaj Kohli, Bezawada
Bruhadeshwar, Signature Generation and Detection of
Malware Families.
Lee H., Jeong K., Code graph for malware detection.
Stamp M., Wong W. Hunting for metamorphic engines.
F. Leder, B Steinbock, P Martini,Classification and
detection of metamorphic malware using value set
analysis.
4

5. Предыдущие исследования
Работы по динамическому анализу
вредоносного кода :
Christodorescu M., Jha S., Kruegel C., Mining specifications of
malicious behavior.
Vinod P., Harshit Jain, Yashwant K. Golecha MEDUSA:
MEtamorphic malware Dynamic Analysis Using Signature
from API.
Sun H., Lin Y., Wu M., Api monitoring system for defeating
Worms and exploits in ms-windows system
Vladislav V. Martynenko”System and method for
detection of complex malware”
5

6. Формулировка задачи
Разработать метод классификации
вредоносного ПО согласно следующим
требованиям:
6
1
• Исследование поведенческих признаков.
2
• Необходимость не менее одного образца
известного вируса. Больше – можно :)
3
• Возможность визуально
интерпретировать результаты анализа.

7. Разработанный метод 7
Получение поведенческих признаков –
трасс WinAPI и созданных файлов.
Вычисление меры близости трасс.
Вычисление меры близости файлов.
Формирование пространства признаков.
Кластеризация признаков.
Анализ результатов.

8. Получение признаков
http://www.cuckoobox.or
g
8

9. Фрагмент одной из трасс
"20130219101536.249","1004","Zbot.af47.exe","LoadLibraryA",
"SUCCESS","0x7c800000","lpFileName->KERNEL32.DLL"
"20130219101536.249","1004","Zbot.af47.exe","LoadLibraryA",
"SUCCESS","0x5d5b0000","lpFileName->comctl32.dll"
"20130219101536.249","1004","Zbot.af47.exe","LoadLibraryA",
"SUCCESS","0x77d30000","lpFileName->user32.dll"
"20130219101536.249","1004","Zbot.af47.exe","ReadFile",
"FAILURE","","hFile->0x00000000","nNumberOfBytesToRead->0"
"20130219101536.249","1004","Zbot.af47.exe","VirtualAllocEx
"SUCCESS","0x00150000","th32ProcessID->2012",
"szExeFile->wmiadap.exe","lpAddress->0x00000000",
"dwSize->4596","flAllocationType->0x00001000",
"flProtect->0x00000040"
"20130219101536.319","1004","Zbot.af47.exe","LoadLibraryW",
"SUCCESS","0x77e70000","lpFileName->rpcrt4.dll"
9

10. Вычисление меры близости трасс
Трасса №1
LoadLibraryA
CreateMutexW
CreateFileW
RegOpenKeyW
LoadLibraryA
VirtualAllocEx
RegQueryValueExW
Трасса №2
LoadLibraryA
CreateMutexW
CreateFileW
LoadLibraryW
VirtualAllocEx
RegQueryValueExW
LoadLibraryA
10
M x N

11. Trace1
RegOpenKeyW
1)SUCCESS
2)0x0006cf38
3)hKey->
HKEY_LOCAL_MACHINE
4)lpSubKey->
SoftwareMicrosoftWind
ows
NTCurrentVersionwinlo
gon
Trace2
RegOpenKeyW
1)SUCCESS
2)0x0045148c
3)hKey->
HKEY_LOCAL_MACHINE
4)lpSubKey->
SoftwareClasses
R=R+(1+ CmpArg(Trace1[RegOpenKeyW],Trace2[RegOpenKeyW]))/2
Сравнение аргументов вызовов
WinAPI
11

12. d23
*
d12
*
d13
*
YT
3 образец (F3,T3)
2 образец (F2,T2)
1 образец (F1,T1)
F
Методы снижения размерности.
Норма вектора и МНШ
12
Fi = ||Df
i ||
Ti = ||Dt
i||
3 образец
2 образец
1 образец
X
по трассам
* - учет влияния функции
стресса

13. Кластерный анализ признаков 13
Стандартная нечеткая кластеризацияМодифицированная нечеткая кластеризация
T
F

14. Повторы
Исходная трасса
LoadLibraryA
CreateMutexW
CreateMutexW
CreateMutexW
CreateFileW
RegOpenKeyW
LoadLibraryA
VirtualAllocEx
RegOpenKeyW
LoadLibraryA
VirtualAllocEx
RegQueryValueExW
Duplication
Цель:
Уменьшить
размер трассы
(количество вызов
для подсчета
наибольшей
общей
подстроки).
14
TandemDuplication
Полученная трасса

15. Описание тестового набора
Образцы Количество
Вредоносные 1025
Легальное ПО 58
15
Общее количество 1083
VTMIS, Malware.lu …

16. Н
о
р
м
а
в
е
к
т
о
р
а
Сравнение методов снижения размерности.
Норма вектора и МНШ 16
М
Н
Ш

17. МНШ 17