基于Nepenthes的恶意代码收集系统

摘要

随着网络技术的飞速发展，人们在享受网络带来的便利和愉悦的同时，也受到越来越多的安全威胁。对于因特网来说，安全威胁主要来自于恶意代码的肆意传播，因此，如何有效的捕获这些恶意代码，减少网络负担，提高网络安全，为用户提供一个舒适的网络环境成为安全工作者不懈努力的目标。
　　 通过对恶意代码传播途径的研究，可以将其分类为以下几种：通过磁盘或移动介质进行传播；通过受感染的文件进行传播；通过网络进行传播；通过不可移动的计算机硬件设备进行传播。分析表明，利用网络进行传播的恶意代码比率远远高于其他三种方式，因此，布置功能强大的蜜罐系统捕获恶意代码渐渐成为遏制恶意代码在网络上传播最有效的方法。
　　 研究对象选择开源蜜罐系统Nepenthes，在深入分析Nepenthes源码基础上详细描述了其结构以及工作原理，随后在实际网络中部署该系统并进行测试。研究发现Nepenthes所模拟的漏洞随着恶意代码的不断更新已经基本失去了作用，漏洞虚拟模块的交互能力过低，导致能够捕获到恶意代码数量非常有限；Shellcode分析模块对攻击代码处理不当，导致有效攻击被忽略；远程下载模块对于可疑URL解析不够准确，丢弃了很多有效链接；虚拟文件系统过于单一，不能有效的引诱恶意代码的攻击。为此，一个新的恶意代码收集系统以Nepenthes为基础设计实现，对近年来比较流行的新漏洞进行收集分析，使得漏洞虚拟模块具有“交谈”的能力，从而提供更高的交互性；用LD相似度算法对Exploit进行匹配，提高交互过程的准确度；根据URL编码格式，进行URL解码以得到真正的链接，提高shellcode的捕获量；对旧的Windows虚拟文件系统进行扩展，在此基础上实现Linux虚拟文件系统，利用两种文件系统增加对恶意代码的迷惑。实验分析结果表明，新设计的系统的交互性得到有效提高，恶意代码捕获量也有显著增加。