[发明专利]一种基于文档型漏洞的恶意代码样本提取方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于文档型漏洞的恶意代码样本提取方法及系统。 

背景技术

基于文档型漏洞的恶意代码初始并不在用户机器中，而是入侵者通过各种方式将具有漏洞的文档先植入到用户计算机中，再引导用户进行打开操作，这样通过已设置好的shellcode进行恶意代码的释放或者下载。而这些恶意代码往往经过了入侵者的层层反信息安全产品操作：加壳、反虚拟机、免杀、驱动保护、条件执行等等各种保护。最重要的问题在于入侵者往往针对要入侵的用户或网络十分了解，目的性是只窃取特定用户的信息，且进行长期潜伏，所以入侵者还会针对用户的固定信息安全产品进行单独的研究与免杀、绕过技术等处置，所以针对文档型漏洞的恶意代码查杀检测率几乎为零。

目前，信息安全厂商针对文档型漏洞的样本捕获方法，大多以养殖方式为主，即将用户机器中的海量文档在虚拟机中模拟运行，监控是否有新的样本产生，将这些新样本再进行自动化的分析，从而捕获这些高威恶意代码样本。但是存在以下几个问题：

第一、海量的文档在虚拟机中执行时，每个都要有一个运行与等待的时间，这样操作速度很慢；

第二、不同类的文档，在执行时都依赖于此文档的运行环境，所以虚拟机中的运行环境的搭建是一个耗时的过程，且运行环境未必能包括所有的文档执行环境，这样就导致于一些文档因为没有运行环境，而不能执行；

第三、捕获的样本已被入侵者层层保护设防、条件执行等，对其进行虚拟机自动化分析基本没有行为，很难对其进行是否恶意的定性。

发明内容

针对上述技术问题，本发明提供了一种基于文档型漏洞的恶意代码样本提取方法及系统，该方法通过对文档中的shellcode进行定位并提取，接着将其转化为PE文件，通过运行PE文件进行恶意代码样本的提取，从而提高了速度，并且克服了养殖方式提取恶意代码样本对环境过分依赖的缺点。 

本发明采用如下方法来实现：

一种基于文档型漏洞的恶意代码样本提取方法，其特征在于，包括：

步骤1、定位文档中的shellcode；

步骤2、提取定位到的shellcode；

步骤3、将所述shellcode转化为PE文件；

步骤4、运行所述PE文件，并判断所述PE文件是否有释放文件的行为，若是，则将释放的文件作为恶意代码样本进行提取，否则判断所述PE文件是否有下载文件的行为，若是，则将下载的文件作为恶意代码样本进行提取，否则放弃对所述文档进行恶意代码样本提取。

释放文件是指恶意代码样本存在于shellcode中，只需要将其写入磁盘便是释放成功；

下载文件是指恶意代码样本在远程网络上，要对其进行下载并存储到磁盘中。

优选地，步骤1所述的定位文档中的shellcode的方法可以为：

步骤a、对文档进行已知漏洞检测，并判定是否检测到漏洞，若是，则利用所述漏洞定位文档中的shellcode，否则执行步骤b；

其中，已知漏洞检测依赖于漏洞特征，漏洞特征是经过大量的针对漏洞的分析和积累，得出的各种类型文档的不同漏洞的不同检测方法；当检测到漏洞时，则可以直接定位的shellcode的偏移地址，对shellcode进行提取并整理；

步骤b、提取所述文档的内嵌文档，若提取成功则执行步骤a，否则执行步骤c；

步骤c、对文档中的数据进行解析还原操作，并针对不同格式的数据分别进行shellcode检测，判定是否检测到shellcode，若是，则定位文档中的shellcode，否则所述文档不含有shellcode。

其中，shellcode检测依赖于shellcode特征，这些特征来源于大量的shellcode分析中提取的shellcode数据，针对这些数据再进行相应算法的特征提取。

优选地，对于提取的恶意代码样本进行养殖，进而获取所述恶意代码样本的关联恶意代码样本。

一种基于文档型漏洞的恶意代码样本提取系统，其特征在于，包括：

定位模块，用于定位文档中的shellcode；

提取模块，用于提取定位到的shellcode；

转化模块，用于将所述shellcode转化为PE文件；

处置模块，运行所述PE文件，并判断所述PE文件是否有释放文件的行为，若是，则将释放的文件作为恶意代码样本进行提取，否则判断所述PE文件是否有下载文件的行为，若是，则将下载的文件作为恶意代码样本进行提取，否则放弃对所述文档进行恶意代码样本提取。