御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。
今天看啥  ›  专栏  ›  腾讯安全威胁情报中心

sshd后门自动化检测 | BinaryAI在恶意软件检测场景的实践

腾讯安全威胁情报中心  · 公众号  · 科技创业 科技自媒体  · 2024-11-12 10:18

主要观点总结

腾讯安全科恩实验室基于BinaryAI的函数语义匹配技术,设计了一套自动化的sshd后门检测方案,用于检测在网络安全中攻击者在sshd身份认证相关函数中植入后门的行为。

关键观点总结

关键观点1: 引言

介绍了sshd后门攻击的背景和面临的挑战,以及传统检测方法的局限性。

关键观点2: sshd后门原理

详细解释了攻击者如何在sshd身份认证函数中插入后门,以及后门常见的行为。

关键观点3: sshd后门检测方法

介绍了腾讯安全科恩实验室设计的基于BinaryAI函数语义匹配技术的自动化检测方案的具体流程,包括BinaryAI引擎分析、身份认证函数提取和后门样本判定。

关键观点4: sshd后门样本发现

通过基于BinaryAI的方法发现了多种类型的sshd后门样本,包括硬编码后门密码、用户密码窃取和回传等。

关键观点5: 讨论

探索了使用大语言模型如GPT-4o-mini检测后门函数的可能性,并讨论了其局限性。

关键观点6: 总结

总结了基于BinaryAI的函数语义匹配技术的sshd后门检测方案的优势和成果。

关键观点7: 附录

提供了sshd身份认证函数集和相关IOC链接,供读者进一步分析和体验。


文章预览

1 引言 在网络安全攻防对抗中,攻击者经常通过在系统关键组件中植入后门程序,来获取持久的访问权限。sshd (SSH daemon) 作为管理远程登录的核心服务,是攻击者常用的目标之一。攻击者通过修改或者替sshd二进制文件,绕过原有身份认证机制。这样,他们就能获取对服务器的控制权,并实施各种恶意攻击。 然而,sshd后门的隐蔽性极强。攻击者通常仅对某个身份认证函数进行细微改动,例如增加特定的后门密码条件判断。这些改动往往形式多样,不同攻击者可能采用不同的后门密码,使得传统检测方法面临巨大挑战。 杀毒软件:主流杀毒软件依赖特征码匹配,擅长检测已知的恶意软件模式,如特定字符串、字节序列等。然而,sshd后门的修改往往是语义层面的微小变化,难以通过通用规则进行有效检测,从而难以应对变种后门的识别。 白名单机制 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览