如何利用沙箱進(jìn)行惡意軟件分析?
在本文中,我們將分解惡意程序調(diào)查的目標(biāo)以及如何使用沙箱進(jìn)行惡意軟件分析。
什么是惡意軟件分析?
惡意軟件分析是研究惡意樣本的過(guò)程。在研究過(guò)程中,研究人員的目標(biāo)是了解惡意程序的類型、功能、代碼和潛在危險(xiǎn)。接收組織需要響應(yīng)入侵的信息。
得到的分析結(jié)果:
- 惡意軟件的工作原理:如果調(diào)查程序的代碼及其算法,將能夠阻止它感染整個(gè)系統(tǒng)。
- 該程序的特點(diǎn):通過(guò)使用惡意軟件的數(shù)據(jù)(如其家族、類型、版本等)來(lái)改進(jìn)檢測(cè)。
- 惡意軟件的目標(biāo)是什么:觸發(fā)樣本的執(zhí)行以檢查它所針對(duì)的數(shù)據(jù),當(dāng)然,在安全的環(huán)境中進(jìn)行。
- 誰(shuí)是攻擊的幕后黑手:獲取黑客隱藏的 IP、來(lái)源、使用的 TTP 和其他足跡。
- 關(guān)于如何防止此類攻擊的計(jì)劃。
惡意軟件分析的類型
|
靜態(tài)和動(dòng)態(tài)惡意軟件分析 |
惡意軟件分析的關(guān)鍵步驟
在這五個(gè)步驟中,調(diào)查的主要重點(diǎn)是盡可能多地找出惡意樣本、執(zhí)行算法以及惡意軟件在各種場(chǎng)景中的工作方式。
我們認(rèn)為,分析惡意軟件最有效的方法是混合使用靜態(tài)和動(dòng)態(tài)方法。這是有關(guān)如何進(jìn)行惡意軟件分析的簡(jiǎn)短指南。只需按照以下步驟操作:
步驟 1. 設(shè)置虛擬機(jī)
可以自定義具有特定要求的 VM,例如瀏覽器、Microsoft Office、選擇操作系統(tǒng)位數(shù)和區(qū)域設(shè)置。添加用于分析的工具并將它們安裝在 VM 中:FakeNet、MITM 代理、Tor、VPN。也可以在沙箱中輕松完成,以ANY.RUN為例:
ANY.RUN 中的 VM 自定義 |
步驟 2. 查看靜態(tài)屬性
這是靜態(tài)惡意軟件分析的階段。在不運(yùn)行的情況下檢查可執(zhí)行文件:檢查字符串以了解惡意軟件的功能。哈希、字符串和標(biāo)頭的內(nèi)容將提供惡意軟件意圖的概述。
例如,在下面的屏幕截圖中,我們可以看到 Formbook 示例的哈希、PE Header、mime 類型和其他信息。為了簡(jiǎn)要了解功能,我們可以查看惡意軟件分析示例中的 Import 部分,其中列出了所有導(dǎo)入的 DLL。
PE文件的靜態(tài)發(fā)現(xiàn) |
步驟 3. 監(jiān)控惡意軟件行為
這是惡意軟件分析的動(dòng)態(tài)方法。在安全的虛擬環(huán)境中上傳惡意軟件樣本。直接與惡意軟件交互以使程序采取行動(dòng)并觀察其執(zhí)行情況。檢查網(wǎng)絡(luò)流量、文件修改和注冊(cè)表更改。以及任何其他可疑事件。
在我們的在線沙盒示例中,我們可能會(huì)查看網(wǎng)絡(luò)流內(nèi)部,以接收到 C2 的騙子憑據(jù)信息以及從受感染機(jī)器上竊取的信息。
攻擊者的憑據(jù) |
審查被盜數(shù)據(jù) |
步驟 4. 分解代碼
如果威脅參與者混淆或打包代碼,請(qǐng)使用反混淆技術(shù)和逆向工程來(lái)揭示代碼。識(shí)別在先前步驟中未公開(kāi)的功能。即使只是尋找惡意軟件使用的功能,也可能會(huì)說(shuō)很多關(guān)于它的功能。例如,函數(shù)“InternetOpenUrlA”表明該惡意軟件將與某個(gè)外部服務(wù)器建立連接。
在這個(gè)階段需要額外的工具,比如調(diào)試器和反匯編器。
步驟 5. 編寫(xiě)惡意軟件報(bào)告。
包括發(fā)現(xiàn)的所有發(fā)現(xiàn)和數(shù)據(jù)。提供以下信息:
- 包含惡意程序名稱、來(lái)源和主要功能的研究摘要。
- 有關(guān)惡意軟件類型、文件名、大小、哈希和防病毒檢測(cè)能力的一般信息。
- 惡意行為描述、感染算法、傳播技術(shù)、數(shù)據(jù)收集和С2通信方式。
- 必要的操作系統(tǒng)位數(shù)、軟件、可執(zhí)行文件和初始化文件、DLL、IP 地址和腳本。
- 審查行為活動(dòng),例如它從何處竊取憑據(jù),是否修改、刪除或安裝文件、讀取值和檢查語(yǔ)言。
- 代碼分析結(jié)果,標(biāo)題數(shù)據(jù)。
- 截圖、日志、字符串行、摘錄等。
交互式惡意軟件分析
現(xiàn)代防病毒軟件和防火墻無(wú)法應(yīng)對(duì)未知威脅,例如有針對(duì)性的攻擊、零日漏洞、高級(jí)惡意程序和未知簽名的危險(xiǎn)。所有這些挑戰(zhàn)都可以通過(guò)交互式沙箱來(lái)解決。
互動(dòng)性是我們服務(wù)的主要優(yōu)勢(shì)。使用 ANY.RUN,可以直接處理可疑樣本,就像在個(gè)人計(jì)算機(jī)上打開(kāi)它一樣:?jiǎn)螕?、運(yùn)行、打印、重新啟動(dòng)。可以處理延遲的惡意軟件執(zhí)行并制定不同的方案以獲得有效的結(jié)果。
在調(diào)查期間,可以:
- 獲得交互式訪問(wèn):像在個(gè)人計(jì)算機(jī)上一樣使用 VM:使用鼠標(biāo)、輸入數(shù)據(jù)、重新啟動(dòng)系統(tǒng)并打開(kāi)文件。
- 更改設(shè)置:預(yù)裝的軟件集,多個(gè)不同位數(shù)和版本的操作系統(tǒng)已準(zhǔn)備好。
- 為虛擬機(jī)選擇工具:FakeNet、MITM 代理、Tor、OpenVPN。
- 研究網(wǎng)絡(luò)連接:攔截?cái)?shù)據(jù)包并獲取 IP 地址列表。
- 即時(shí)訪問(wèn)分析: VM 立即啟動(dòng)分析過(guò)程。
- 監(jiān)控系統(tǒng)進(jìn)程:實(shí)時(shí)觀察惡意軟件行為。
- 收集 IOC: IP 地址、域名、哈希等可用。
- 獲取 MITRE ATT@CK 矩陣:詳細(xì)查看 TTP。
- 有一個(gè)過(guò)程圖:評(píng)估一個(gè)圖中的所有過(guò)程。
- 下載現(xiàn)成的惡意軟件報(bào)告:以方便的格式打印所有數(shù)據(jù)。
所有這些功能都有助于揭示復(fù)雜的惡意軟件并實(shí)時(shí)查看攻擊結(jié)構(gòu)。
嘗試使用交互式方法破解惡意軟件。如果使用 沙箱,可以進(jìn)行惡意軟件分析并享受快速的結(jié)果、簡(jiǎn)單的研究過(guò)程、甚至可以調(diào)查復(fù)雜的惡意軟件并獲得詳細(xì)的報(bào)告。按照步驟,使用智能工具并成功捕獲惡意軟件。