sshd后门自动化检测 | BinaryAI在恶意软件检测场景的实践

主要观点总结

腾讯安全科恩实验室基于BinaryAI的函数语义匹配技术，设计了一套自动化的sshd后门检测方案，用于检测在网络安全中攻击者在sshd身份认证相关函数中植入后门的行为。

关键观点总结

关键观点1: 引言

介绍了sshd后门攻击的背景和面临的挑战，以及传统检测方法的局限性。

关键观点2: sshd后门原理

详细解释了攻击者如何在sshd身份认证函数中插入后门，以及后门常见的行为。

关键观点3: sshd后门检测方法

介绍了腾讯安全科恩实验室设计的基于BinaryAI函数语义匹配技术的自动化检测方案的具体流程，包括BinaryAI引擎分析、身份认证函数提取和后门样本判定。

关键观点4: sshd后门样本发现

通过基于BinaryAI的方法发现了多种类型的sshd后门样本，包括硬编码后门密码、用户密码窃取和回传等。

关键观点5: 讨论

探索了使用大语言模型如GPT-4o-mini检测后门函数的可能性，并讨论了其局限性。

关键观点6: 总结

总结了基于BinaryAI的函数语义匹配技术的sshd后门检测方案的优势和成果。

关键观点7: 附录

提供了sshd身份认证函数集和相关IOC链接，供读者进一步分析和体验。

文章预览

1 引言 在网络安全攻防对抗中，攻击者经常通过在系统关键组件中植入后门程序，来获取持久的访问权限。sshd (SSH daemon) 作为管理远程登录的核心服务，是攻击者常用的目标之一。攻击者通过修改或者替sshd二进制文件，绕过原有身份认证机制。这样，他们就能获取对服务器的控制权，并实施各种恶意攻击。 然而，sshd后门的隐蔽性极强。攻击者通常仅对某个身份认证函数进行细微改动，例如增加特定的后门密码条件判断。这些改动往往形式多样，不同攻击者可能采用不同的后门密码，使得传统检测方法面临巨大挑战。 杀毒软件：主流杀毒软件依赖特征码匹配，擅长检测已知的恶意软件模式，如特定字符串、字节序列等。然而，sshd后门的修改往往是语义层面的微小变化，难以通过通用规则进行有效检测，从而难以应对变种后门的识别。 白名单机制 ………………………………