《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 一種基于數(shù)據(jù)匹配的COM惡意調(diào)用溯源研究
一種基于數(shù)據(jù)匹配的COM惡意調(diào)用溯源研究
電子技術(shù)應(yīng)用
袁偉峰,沙樂天,潘家曄
南京郵電大學(xué) 計算機學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院
摘要: 針對高級持續(xù)性威脅(Advanced Persistent Threat,APT)利用組件對象模型(Component Object Model,COM)接口進行行為混淆,導(dǎo)致傳統(tǒng)溯源方法難以有效追蹤的問題,提出了一種基于數(shù)據(jù)匹配的實時溯源系統(tǒng)COMLink。該系統(tǒng)利用COM調(diào)用中客戶端與服務(wù)器進程間數(shù)據(jù)交換的數(shù)據(jù)關(guān)聯(lián)特性,通過前綴相似度算法實現(xiàn)對敏感行為的線程級精確溯源。COMLink能夠跨進程追蹤COM調(diào)用鏈,即使在惡意軟件利用受信任進程執(zhí)行惡意行為時也能有效溯源。實驗結(jié)果表明,COMLink在包含6個已知可利用COM接口的測試環(huán)境中,能夠以82%的準確率追蹤基于COM的攻擊行為,COMLink對系統(tǒng)性能的影響可忽略不計,性能損失小于2%,顯著提升了APT檢測和歸因能力。
中圖分類號:TP393.08 文獻標志碼:A DOI: 10.16157/j.issn.0258-7998.256446
中文引用格式: 袁偉峰,沙樂天,潘家曄. 一種基于數(shù)據(jù)匹配的COM惡意調(diào)用溯源研究[J]. 電子技術(shù)應(yīng)用,2025,51(9):50-55.
英文引用格式: Yuan Weifeng,Sha Letian,Pan Jiaye. A data matching-based study on tracing malicious COM calls[J]. Application of Electronic Technique,2025,51(9):50-55.
A data matching-based study on tracing malicious COM calls
Yuan Weifeng,Sha Letian,Pan Jiaye
School of Computer Science, Nanjing University of Posts and Telecommunications
Abstract: To address the challenge of Advanced Persistent Threats (APTs) leveraging Component Object Model (COM) interfaces to obfuscate malicious activities, rendering traditional tracing methods ineffective, this study proposes COMLink, a real-time provenance analysis system based on data matching. COMLink leverages the data association characteristics inherent in data exchange between client and server processes during COM calls, employing a prefix similarity algorithm to achieve precise, thread-level provenance for sensitive behaviors. COMLink is capable of cross-process tracing of COM call chains, enabling effective provenance analysis even when malware exploits trusted processes to execute malicious actions. Experimental results demonstrate that COMLink can trace COM-based attack behaviors with an accuracy of 82% in a test environment comprising 6 known exploitable COM interfaces. COMLink's impact on system performance is negligible, with a performance loss of less than 2%, significantly enhancing APT detection and attribution capabilities.
Key words : Advanced Persistent Threat (APT);malware detection;Component Object Model (COM);Windows malware

引言

惡意軟件的持續(xù)演變對全球組織構(gòu)成了嚴峻威脅,導(dǎo)致破壞性數(shù)據(jù)泄露、運營中斷和巨額經(jīng)濟損失。根據(jù)2023年數(shù)據(jù)泄露調(diào)查報告,40%的數(shù)據(jù)泄露事件涉及惡意軟件[1-2]。近年來,高級持續(xù)性威脅(APT)攻擊日益頻繁,攻擊者不斷采用新的技術(shù)來繞過安全防御[3-6]。其中,利用組件對象模型(COM)接口進行行為混淆已成為一種常見的攻擊手段。COM接口允許程序跨進程調(diào)用組件的功能,惡意軟件可以利用COM接口在受信任進程中執(zhí)行惡意代碼,從而繞過傳統(tǒng)的基于進程行為的檢測[7]。

然而,當前的解決方案對基于COM的惡意行為的檢測能力有限,主要原因是COM調(diào)用涉及多個進程,難以追蹤惡意行為的源頭,目前采用黑名單的方式攔截組件執(zhí)行特定操作,或利用白名單的方式限制組件執(zhí)行效果,但黑名單機制無法有效防御未知COM接口,而白名單機制很容易通過修改進程名稱的方式繞過。為了解決這一難題,本文提出了一種名為COMLink的實時溯源系統(tǒng),該系統(tǒng)基于COM調(diào)用中客戶端與服務(wù)器進程間數(shù)據(jù)交換的數(shù)據(jù)關(guān)聯(lián)特性,實現(xiàn)了惡意行為的線程級關(guān)聯(lián)。COMLink通過以下方式實現(xiàn):(1) 使用系統(tǒng)級鉤子監(jiān)控COM調(diào)用的通信過程;(2) 提取COM調(diào)用時通信中的關(guān)鍵數(shù)據(jù);(3) 基于最大前綴的相似度算法關(guān)聯(lián)跨進程的數(shù)據(jù);(4) 最終將惡意行為追溯到發(fā)起線程。本文的主要貢獻在于提出了一種有效的COM惡意調(diào)用溯源方法,并驗證了其在實際攻擊場景中的有效性。


本文詳細內(nèi)容請下載:

http://www.ihrv.cn/resource/share/2000006687


作者信息:

袁偉峰,沙樂天,潘家曄

(南京郵電大學(xué) 計算機學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院,江蘇 南京 210023)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。