《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 一种基于数据匹配的COM恶意调用溯源研究
一种基于数据匹配的COM恶意调用溯源研究
电子技术应用
袁伟峰,沙乐天,潘家晔
南京邮电大学 计算机学院、软件学院、网络空间安全学院
摘要: 针对高级持续性威胁(Advanced Persistent Threat,APT)利用组件对象模型(Component Object Model,COM)接口进行行为混淆,导致传统溯源方法难以有效追踪的问题,提出了一种基于数据匹配的实时溯源系统COMLink。该系统利用COM调用中客户端与服务器进程间数据交换的数据关联特性,通过前缀相似度算法实现对敏感行为的线程级精确溯源。COMLink能够跨进程追踪COM调用链,即使在恶意软件利用受信任进程执行恶意行为时也能有效溯源。实验结果表明,COMLink在包含6个已知可利用COM接口的测试环境中,能够以82%的准确率追踪基于COM的攻击行为,COMLink对系统性能的影响可忽略不计,性能损失小于2%,显著提升了APT检测和归因能力。
中圖分類號:TP393.08 文獻標志碼:A DOI: 10.16157/j.issn.0258-7998.256446
中文引用格式: 袁偉峰,沙樂天,潘家曄. 一種基于數(shù)據(jù)匹配的COM惡意調(diào)用溯源研究[J]. 電子技術(shù)應(yīng)用,2025,51(9):50-55.
英文引用格式: Yuan Weifeng,Sha Letian,Pan Jiaye. A data matching-based study on tracing malicious COM calls[J]. Application of Electronic Technique,2025,51(9):50-55.
A data matching-based study on tracing malicious COM calls
Yuan Weifeng,Sha Letian,Pan Jiaye
School of Computer Science, Nanjing University of Posts and Telecommunications
Abstract: To address the challenge of Advanced Persistent Threats (APTs) leveraging Component Object Model (COM) interfaces to obfuscate malicious activities, rendering traditional tracing methods ineffective, this study proposes COMLink, a real-time provenance analysis system based on data matching. COMLink leverages the data association characteristics inherent in data exchange between client and server processes during COM calls, employing a prefix similarity algorithm to achieve precise, thread-level provenance for sensitive behaviors. COMLink is capable of cross-process tracing of COM call chains, enabling effective provenance analysis even when malware exploits trusted processes to execute malicious actions. Experimental results demonstrate that COMLink can trace COM-based attack behaviors with an accuracy of 82% in a test environment comprising 6 known exploitable COM interfaces. COMLink's impact on system performance is negligible, with a performance loss of less than 2%, significantly enhancing APT detection and attribution capabilities.
Key words : Advanced Persistent Threat (APT);malware detection;Component Object Model (COM);Windows malware

引言

惡意軟件的持續(xù)演變對全球組織構(gòu)成了嚴峻威脅,導(dǎo)致破壞性數(shù)據(jù)泄露、運營中斷和巨額經(jīng)濟損失。根據(jù)2023年數(shù)據(jù)泄露調(diào)查報告,40%的數(shù)據(jù)泄露事件涉及惡意軟件[1-2]。近年來,高級持續(xù)性威脅(APT)攻擊日益頻繁,攻擊者不斷采用新的技術(shù)來繞過安全防御[3-6]。其中,利用組件對象模型(COM)接口進行行為混淆已成為一種常見的攻擊手段。COM接口允許程序跨進程調(diào)用組件的功能,惡意軟件可以利用COM接口在受信任進程中執(zhí)行惡意代碼,從而繞過傳統(tǒng)的基于進程行為的檢測[7]。

然而,當前的解決方案對基于COM的惡意行為的檢測能力有限,主要原因是COM調(diào)用涉及多個進程,難以追蹤惡意行為的源頭,目前采用黑名單的方式攔截組件執(zhí)行特定操作,或利用白名單的方式限制組件執(zhí)行效果,但黑名單機制無法有效防御未知COM接口,而白名單機制很容易通過修改進程名稱的方式繞過。為了解決這一難題,本文提出了一種名為COMLink的實時溯源系統(tǒng),該系統(tǒng)基于COM調(diào)用中客戶端與服務(wù)器進程間數(shù)據(jù)交換的數(shù)據(jù)關(guān)聯(lián)特性,實現(xiàn)了惡意行為的線程級關(guān)聯(lián)。COMLink通過以下方式實現(xiàn):(1) 使用系統(tǒng)級鉤子監(jiān)控COM調(diào)用的通信過程;(2) 提取COM調(diào)用時通信中的關(guān)鍵數(shù)據(jù);(3) 基于最大前綴的相似度算法關(guān)聯(lián)跨進程的數(shù)據(jù);(4) 最終將惡意行為追溯到發(fā)起線程。本文的主要貢獻在于提出了一種有效的COM惡意調(diào)用溯源方法,并驗證了其在實際攻擊場景中的有效性。


本文詳細內(nèi)容請下載:

http://www.ihrv.cn/resource/share/2000006687


作者信息:

袁偉峰,沙樂天,潘家曄

(南京郵電大學 計算機學院、軟件學院、網(wǎng)絡(luò)空間安全學院,江蘇 南京 210023)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。