《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 一種基于數據匹配的COM惡意調用溯源研究
一種基于數據匹配的COM惡意調用溯源研究
電子技術應用
袁偉峰,沙樂天,潘家曄
南京郵電大學 計算機學院、軟件學院、網絡空間安全學院
摘要: 針對高級持續(xù)性威脅(Advanced Persistent Threat,APT)利用組件對象模型(Component Object Model,COM)接口進行行為混淆,導致傳統(tǒng)溯源方法難以有效追蹤的問題,提出了一種基于數據匹配的實時溯源系統(tǒng)COMLink。該系統(tǒng)利用COM調用中客戶端與服務器進程間數據交換的數據關聯特性,通過前綴相似度算法實現對敏感行為的線程級精確溯源。COMLink能夠跨進程追蹤COM調用鏈,即使在惡意軟件利用受信任進程執(zhí)行惡意行為時也能有效溯源。實驗結果表明,COMLink在包含6個已知可利用COM接口的測試環(huán)境中,能夠以82%的準確率追蹤基于COM的攻擊行為,COMLink對系統(tǒng)性能的影響可忽略不計,性能損失小于2%,顯著提升了APT檢測和歸因能力。
中圖分類號:TP393.08 文獻標志碼:A DOI: 10.16157/j.issn.0258-7998.256446
中文引用格式: 袁偉峰,沙樂天,潘家曄. 一種基于數據匹配的COM惡意調用溯源研究[J]. 電子技術應用,2025,51(9):50-55.
英文引用格式: Yuan Weifeng,Sha Letian,Pan Jiaye. A data matching-based study on tracing malicious COM calls[J]. Application of Electronic Technique,2025,51(9):50-55.
A data matching-based study on tracing malicious COM calls
Yuan Weifeng,Sha Letian,Pan Jiaye
School of Computer Science, Nanjing University of Posts and Telecommunications
Abstract: To address the challenge of Advanced Persistent Threats (APTs) leveraging Component Object Model (COM) interfaces to obfuscate malicious activities, rendering traditional tracing methods ineffective, this study proposes COMLink, a real-time provenance analysis system based on data matching. COMLink leverages the data association characteristics inherent in data exchange between client and server processes during COM calls, employing a prefix similarity algorithm to achieve precise, thread-level provenance for sensitive behaviors. COMLink is capable of cross-process tracing of COM call chains, enabling effective provenance analysis even when malware exploits trusted processes to execute malicious actions. Experimental results demonstrate that COMLink can trace COM-based attack behaviors with an accuracy of 82% in a test environment comprising 6 known exploitable COM interfaces. COMLink's impact on system performance is negligible, with a performance loss of less than 2%, significantly enhancing APT detection and attribution capabilities.
Key words : Advanced Persistent Threat (APT);malware detection;Component Object Model (COM);Windows malware

引言

惡意軟件的持續(xù)演變對全球組織構成了嚴峻威脅,導致破壞性數據泄露、運營中斷和巨額經濟損失。根據2023年數據泄露調查報告,40%的數據泄露事件涉及惡意軟件[1-2]。近年來,高級持續(xù)性威脅(APT)攻擊日益頻繁,攻擊者不斷采用新的技術來繞過安全防御[3-6]。其中,利用組件對象模型(COM)接口進行行為混淆已成為一種常見的攻擊手段。COM接口允許程序跨進程調用組件的功能,惡意軟件可以利用COM接口在受信任進程中執(zhí)行惡意代碼,從而繞過傳統(tǒng)的基于進程行為的檢測[7]。

然而,當前的解決方案對基于COM的惡意行為的檢測能力有限,主要原因是COM調用涉及多個進程,難以追蹤惡意行為的源頭,目前采用黑名單的方式攔截組件執(zhí)行特定操作,或利用白名單的方式限制組件執(zhí)行效果,但黑名單機制無法有效防御未知COM接口,而白名單機制很容易通過修改進程名稱的方式繞過。為了解決這一難題,本文提出了一種名為COMLink的實時溯源系統(tǒng),該系統(tǒng)基于COM調用中客戶端與服務器進程間數據交換的數據關聯特性,實現了惡意行為的線程級關聯。COMLink通過以下方式實現:(1) 使用系統(tǒng)級鉤子監(jiān)控COM調用的通信過程;(2) 提取COM調用時通信中的關鍵數據;(3) 基于最大前綴的相似度算法關聯跨進程的數據;(4) 最終將惡意行為追溯到發(fā)起線程。本文的主要貢獻在于提出了一種有效的COM惡意調用溯源方法,并驗證了其在實際攻擊場景中的有效性。


本文詳細內容請下載:

http://www.ihrv.cn/resource/share/2000006687


作者信息:

袁偉峰,沙樂天,潘家曄

(南京郵電大學 計算機學院、軟件學院、網絡空間安全學院,江蘇 南京 210023)


Magazine.Subscription.jpg

此內容為AET網站原創(chuàng),未經授權禁止轉載。