架,惡意的入口網站)。
5.
Load Malware into Debugger
Debugger
模式下載入惡意
程式可以逐步分析惡意程式的指令與
代碼。這種方式可以了解程式執行時,
相關動作與記憶體的改動等,為較完
整的行為報告。
四、一般惡意程式之行為
依據動態分析的結果,目前常見
的惡意程式行為整理如下:
1.
持續控制的能力
這 部 份 可 能 會 有 修 改 自 動
啟 動 機 碼(
Run, RunServices,
RunServicesOnce
的動作,又或
者會開啟
TCP
連接埠供攻擊者連入
圖九)。
2.
Phoning Home
C&C
圖九 惡意程式修改機碼以獲取持續控制的能力
圖十 利用
HTTP POST
將資料傳送至外部駭客所架的伺服器上
惡意程式利用
80
Port
發送未知
的流量,又或者將從受感染的設備上
所取得的敏感資料傳送至
Bot
控制者
身上。除此之外像直接利用
IP
而不使
hostname
進行連結。使用一些可
疑或已知不好的
User-Agent
字串,
都是常見惡意程式的行為(圖十)。
3.
Alter Network Settings
有些惡意程式會去修改
hosts
案,以影響使用者
dns
查詢,使用
者有可能因此連結到假網站上。此外
有些惡意程式也會去修改
IE Proxy
的設定,將流量導往駭客自行架設的
Proxy Server
以從中獲得資訊。
4.
進一步的感染及傳播
大部份惡意程式在感染後,會試
著在一步的傳播或加強控制能力,這
時候就會有從網路上下載執行檔(一
191
Technology Forum 2015
雲端
資料
BYOD
與資
網路