通過使用硬件資源來檢測網絡業(yè)務中的矛盾的根套件檢測的制作方法
【技術領域】
[0001]在此描述的實施例大體涉及惡意程序(malware)檢測，并且具體地涉及檢測試圖從反惡意軟件中隱藏網絡業(yè)務的惡意程序。
【背景技術】
[0002]根套件(Rootkit)是一種秘密類型的設計用于在通常的檢測方法中隱藏某些進程或者程序的存在的惡意軟件(惡意程序)。Rootkit典型地能夠實現(xiàn)對折衷系統(tǒng)的持續(xù)有特權的訪問。當攻擊者獲得根(root)或者管理員訪問時，Rootkit安裝可以是自動的或者激活的。獲得這一訪問是利用已知的弱點對系統(tǒng)的直接攻擊的結果，或者通過獲得對密碼(通過破解、權限升級或者社會工程)的訪問。一旦被安裝，Rootkit典型地嘗試隱藏入侵并且保持其自己(或者其他進程)的有特權的訪問。
[0003]Rootkit檢測很困難，因為Rootkit能夠破壞試圖找到它的軟件。檢測方法包括使用替代的、可信的操作系統(tǒng)、基于行為的方法、簽名掃描、差別掃描以及存儲器轉儲分析。移除可以是非常復雜的或者在實踐上不可能的，尤其是在Rootkit駐留在內核中的情況下。重新安裝操作系統(tǒng)可能是唯一針對這一問題的有用的方法。當處理固件Rootkit時，移除可能需要硬件替換或者專門裝置。
[0004]現(xiàn)代Rootkit不必提升訪問，但是通常被用于通過增加隱藏能力來產生其他的不能夠檢測的軟件有效負荷。由于它們攜帶的有效負荷是惡意的，所以大部分Rootkit被分類為惡意程序。例如，有效負荷可能會悄悄偷走用戶密碼、信用卡信息、計算資源，或者執(zhí)行其他未授權的行為。極少數(shù)量的Rootkit被其用戶認為有用的應用程序:例如，Rootkit可能掩蓋CD-ROM-仿真驅動器，允許視頻游戲用戶來戰(zhàn)勝需要將原始安裝介質插入物理光驅動器中從而驗證軟件是正當購買的反盜版措施。
[0005]Rootkit可以在計算機環(huán)境的不同的特權級別或者模式中運行。用戶模式Rootkit在與多數(shù)其他的用戶應用程序相同的模式下運行，而不是低層系統(tǒng)進程。它們具有很多可能的安裝向量從而攔截和修改應用編程接口(API)的標準行為。一些將動態(tài)鏈接庫(例如.DLL文件、.dylib文件、.so文件或者.shlib文件)注入其他進程，并且因此能夠在其中執(zhí)行任何目標進程從而欺騙它。其他具有充足特權的僅僅覆蓋目標應用的存儲器。
[0006]內核模式Rootkit (零環(huán))和/或駐留在虛擬層(有時被稱為環(huán)_1)上的Rootkit通過增加代碼或者替換核心操作系統(tǒng)部分以最高的操作系統(tǒng)特權來運行，核心操作系統(tǒng)包括內核和相關的裝置驅動器。多數(shù)操作系統(tǒng)支持內核模式裝置驅動器，其以與操作系統(tǒng)自身相同的特權來執(zhí)行。如此，很多內核模式Rootkit被發(fā)展為裝置驅動器或者可加載模塊，例如可加載內核模塊或者裝置驅動器。這一類Rootkit具有不受限制的安全訪問。內核Rootkit可能非常難被檢測和移除，由于它們以與操作系統(tǒng)自身相同的安全等級來運行，并且因此能夠攔截或者破壞多數(shù)可信的操作系統(tǒng)操作并且因此以類似秘密的方式將它們自己“隱藏”。隱藏它們在系統(tǒng)中的存在的Rootkit和其他惡意程序很難被在受感染的操作環(huán)境的范圍內檢測和清除。
【附圖說明】
[0007]圖1是示出了根據一個實施例的具有隱藏的網絡業(yè)務的計算機網絡的框圖。
[0008]圖2是示出了根據一個實施例的在以安全環(huán)境和不安全環(huán)境監(jiān)視的網絡業(yè)務之間的差別的圖表。
[0009]圖3是示出了根據一個實施例的用于檢測Rootkit的計算機系統(tǒng)的框圖。
[0010]圖4是示出了根據一個實施例的用于檢測惡意程序的技術的流程圖。
[0011]圖5是示出了根據另一個實施例的用于檢測惡意程序的技術的流程圖。
[0012]圖6是示出了根據再一個實施例的用于檢測惡意程序的技術的流程圖。
【具體實施方式】
[0013]在下面的描述中，出于解釋的目的，闡述了很多特定的細節(jié)以用于提供對本發(fā)明的透徹的理解。但是，很明顯，對于本領域技術人員來說沒有這些特定的細節(jié)也可能實現(xiàn)本發(fā)明。在其他例子中，以框圖的形式示出了結構和裝置從而避免混淆本發(fā)明。對沒有下標或者后綴的數(shù)字的參考被理解為參考了所有對應于該參考數(shù)字的下標和后綴的例子。此外，在本公開中使用的語言已經被選擇主要為了易讀性和指導目的，并且可能沒有被選擇來描繪或者限制發(fā)明主題，而采取必要的權利要求來確定這樣的發(fā)明主題。在說明書中對“一個實施例”或者“實施例”的參考意味著結合該實施例描述的特定的特征、結構，或者特性包括在本發(fā)明的至少一個實施例中，并且多次對“一個實施例”或者“實施例”的參考不應當被理解為必須全部參考相同的實施例。
[0014]在此描述的實施例是例子并且是為了示意性的目的。本領域技術人員可以識別到能夠使用用于實現(xiàn)公開的主題的替代技術。示例性實施例的元件可能被設置在不同的配置中或者與不同示例性實施例的元件組合。例如，框和流程的執(zhí)行的順序可以改變。這些流程圖的一些框可以被改變、省略或者組合并且如期望地可以增加其他框。
[0015]如在此使用的，術語“計算機系統(tǒng)”可以指代單個計算機或者多個在一起工作的計算機來執(zhí)行在此描述為在計算機系統(tǒng)上或者被其執(zhí)行的功能。
[0016]逐漸地，對商業(yè)、政府機構以及其他的網絡攻擊都是隱藏和持續(xù)的。結果，檢測隱藏通信的能力變得對能夠處理對知識產權和個人信息的偷竊越來越重要。
[0017]用于掩蓋一個人的軌跡的主要的因素包括從操作系統(tǒng)中的軟件駐留隱藏。通常避免檢測的方法是使用能夠從例如反病毒軟件和基于主機的入侵檢測中隱藏行為的惡意程序。當前的威脅更關注于隱藏在操作系統(tǒng)中(Rootkit和Bootkit)而遮擋網絡傳輸是自然的下一步，因此檢測惡意程序通信正變得越來越有意義和重要。Bootkit (在操作系統(tǒng)在boot進程階段初始化之前激活的Rootkit)可以控制操作系統(tǒng)與網絡硬件的交互。它們也可以使用網絡堆棧，典型的是互聯(lián)網協(xié)議(IP)堆棧。這可能在不能夠看到惡意的網絡業(yè)務的操作系統(tǒng)下(包括入侵檢測或者其他安全軟件)呈現(xiàn)操作系統(tǒng)和軟件操作。Rootkit代碼還能夠從固件激活，該固件會使得其很難檢測并且極其難被移除。
[0018]市場上有多種使用不同方法的Rootkit檢測程序。比較可信的和潛在感染的信息的方法也是公知的并且被使用在很多反Rootkit工具中，例如通過Russinovich的RootkitRevealer的基于差別的檢測，其能夠檢測Sony DRM Rootkit。其他的例子是F-Secure的Blacklight和McAfee的RootkitDetective，所有這些都將差別觀察用作主要的檢測方法之一。但是，現(xiàn)有的反Rootkit方法沒有考慮網絡業(yè)務，并且隱藏網絡業(yè)務的Rootkit或者Bootkit使用完全基于軟件的基于差別的檢測來檢測如果不是不可能的話則將會是非常困難的。
[0019]識別檢測隱藏的網絡業(yè)務的值以及檢測這一業(yè)務的問題產生了下面描述的方案。下面是在隱藏、持續(xù)威脅的情境中示出了這一發(fā)明的重要性的一些例子。
[0020]考慮到通過無論什么方法加載的惡意程序(例如，在網站中獲得的)。該惡意程序設計來收集信息和將收集的信息周期性地泄露給外部實體。由于入侵監(jiān)測系統(tǒng)，其可能是基于主機或者基于網絡的，能夠將該行為標記為可疑的，惡意程序設計者試圖阻止入侵檢測代理來檢測該泄露。為了避免基于網絡的日志記錄和入侵檢測系統(tǒng)，惡意程序可被設計來僅當沒有代理被使用或者當連接到已知的私人IP地址(例如192.168.X.X)時才發(fā)送消息。即使外部實體是當前不知道的并且沒有被入侵檢測系統(tǒng)設置黑名單為惡意的，夕卜部實體可能此后變?yōu)橐阎?。為了保持隱藏，惡意程序設計者可能試圖使用Rootkit或者Bootkit來保持用于與通過基于主機的入侵檢測系統(tǒng)而沒有被檢測到的外部實體的通信的網絡業(yè)務。這產生了在被真實發(fā)送和接收的與被操作系統(tǒng)環(huán)境記錄為被發(fā)送和接收的之間的網絡記錄之間的矛盾，因此限制基于主機的入侵監(jiān)測系統(tǒng)所檢測的。該突破口提供了解決隱藏的網絡業(yè)務問題的方法的機會。
[0021]在另一個例子中，隱名代理時常偶然發(fā)現(xiàn)指令和控制(C&C)系統(tǒng)。該系統(tǒng)可變成已知的C&C系統(tǒng)并且檢測與C&C系統(tǒng)的通信可以分發(fā)惡意程序的存在。惡意程序要做的相應的事情就是保持與隱藏的C&C系統(tǒng)的該接觸。但是這產生了在真實的網絡業(yè)務和網絡業(yè)務監(jiān)視器在操作系統(tǒng)環(huán)境中可以檢測到的網絡業(yè)務之間的矛盾，并且提供了另一個方法的機會。
[0022]在此描述的方法的目的是捕獲期望試圖被隱藏的網絡業(yè)務。這些都是通常對于嘗試