在本文中，我們將分解惡意程序調(diào)查的目標(biāo)以及如何使用沙箱進(jìn)行惡意軟件分析。

什么是惡意軟件分析？

惡意軟件分析是研究惡意樣本的過(guò)程。在研究過(guò)程中，研究人員的目標(biāo)是了解惡意程序的類型、功能、代碼和潛在危險(xiǎn)。接收組織需要響應(yīng)入侵的信息。

得到的分析結(jié)果：

• 惡意軟件的工作原理：如果調(diào)查程序的代碼及其算法，將能夠阻止它感染整個(gè)系統(tǒng)。
• 該程序的特點(diǎn)：通過(guò)使用惡意軟件的數(shù)據(jù)（如其家族、類型、版本等）來(lái)改進(jìn)檢測(cè)。
• 惡意軟件的目標(biāo)是什么：觸發(fā)樣本的執(zhí)行以檢查它所針對(duì)的數(shù)據(jù)，當(dāng)然，在安全的環(huán)境中進(jìn)行。
• 誰(shuí)是攻擊的幕后黑手：獲取黑客隱藏的 IP、來(lái)源、使用的 TTP 和其他足跡。
• 關(guān)于如何防止此類攻擊的計(jì)劃。

惡意軟件分析的類型

惡意軟件分析的關(guān)鍵步驟

在這五個(gè)步驟中，調(diào)查的主要重點(diǎn)是盡可能多地找出惡意樣本、執(zhí)行算法以及惡意軟件在各種場(chǎng)景中的工作方式。

我們認(rèn)為，分析惡意軟件最有效的方法是混合使用靜態(tài)和動(dòng)態(tài)方法。這是有關(guān)如何進(jìn)行惡意軟件分析的簡(jiǎn)短指南。只需按照以下步驟操作：

步驟 1. 設(shè)置虛擬機(jī)

可以自定義具有特定要求的 VM，例如瀏覽器、Microsoft Office、選擇操作系統(tǒng)位數(shù)和區(qū)域設(shè)置。添加用于分析的工具并將它們安裝在 VM 中：FakeNet、MITM 代理、Tor、VPN。也可以在沙箱中輕松完成，以ANY.RUN為例：

步驟 2. 查看靜態(tài)屬性

這是靜態(tài)惡意軟件分析的階段。在不運(yùn)行的情況下檢查可執(zhí)行文件：檢查字符串以了解惡意軟件的功能。哈希、字符串和標(biāo)頭的內(nèi)容將提供惡意軟件意圖的概述。

例如，在下面的屏幕截圖中，我們可以看到 Formbook 示例的哈希、PE Header、mime 類型和其他信息。為了簡(jiǎn)要了解功能，我們可以查看惡意軟件分析示例中的 Import 部分，其中列出了所有導(dǎo)入的 DLL。

步驟 3. 監(jiān)控惡意軟件行為

這是惡意軟件分析的動(dòng)態(tài)方法。在安全的虛擬環(huán)境中上傳惡意軟件樣本。直接與惡意軟件交互以使程序采取行動(dòng)并觀察其執(zhí)行情況。檢查網(wǎng)絡(luò)流量、文件修改和注冊(cè)表更改。以及任何其他可疑事件。

在我們的在線沙盒示例中，我們可能會(huì)查看網(wǎng)絡(luò)流內(nèi)部，以接收到 C2 的騙子憑據(jù)信息以及從受感染機(jī)器上竊取的信息。

步驟 4. 分解代碼

如果威脅參與者混淆或打包代碼，請(qǐng)使用反混淆技術(shù)和逆向工程來(lái)揭示代碼。識(shí)別在先前步驟中未公開(kāi)的功能。即使只是尋找惡意軟件使用的功能，也可能會(huì)說(shuō)很多關(guān)于它的功能。例如，函數(shù)“InternetOpenUrlA”表明該惡意軟件將與某個(gè)外部服務(wù)器建立連接。

在這個(gè)階段需要額外的工具，比如調(diào)試器和反匯編器。

步驟 5. 編寫(xiě)惡意軟件報(bào)告。

包括發(fā)現(xiàn)的所有發(fā)現(xiàn)和數(shù)據(jù)。提供以下信息：

• 包含惡意程序名稱、來(lái)源和主要功能的研究摘要。
• 有關(guān)惡意軟件類型、文件名、大小、哈希和防病毒檢測(cè)能力的一般信息。
• 惡意行為描述、感染算法、傳播技術(shù)、數(shù)據(jù)收集和С2通信方式。
• 必要的操作系統(tǒng)位數(shù)、軟件、可執(zhí)行文件和初始化文件、DLL、IP 地址和腳本。
• 審查行為活動(dòng)，例如它從何處竊取憑據(jù)，是否修改、刪除或安裝文件、讀取值和檢查語(yǔ)言。
• 代碼分析結(jié)果，標(biāo)題數(shù)據(jù)。
• 截圖、日志、字符串行、摘錄等。

交互式惡意軟件分析

現(xiàn)代防病毒軟件和防火墻無(wú)法應(yīng)對(duì)未知威脅，例如有針對(duì)性的攻擊、零日漏洞、高級(jí)惡意程序和未知簽名的危險(xiǎn)。所有這些挑戰(zhàn)都可以通過(guò)交互式沙箱來(lái)解決。

互動(dòng)性是我們服務(wù)的主要優(yōu)勢(shì)。使用 ANY.RUN，可以直接處理可疑樣本，就像在個(gè)人計(jì)算機(jī)上打開(kāi)它一樣：?jiǎn)螕?、運(yùn)行、打印、重新啟動(dòng)。可以處理延遲的惡意軟件執(zhí)行并制定不同的方案以獲得有效的結(jié)果。

在調(diào)查期間，可以：

• 獲得交互式訪問(wèn)：像在個(gè)人計(jì)算機(jī)上一樣使用 VM：使用鼠標(biāo)、輸入數(shù)據(jù)、重新啟動(dòng)系統(tǒng)并打開(kāi)文件。
• 更改設(shè)置：預(yù)裝的軟件集，多個(gè)不同位數(shù)和版本的操作系統(tǒng)已準(zhǔn)備好。
• 為虛擬機(jī)選擇工具：FakeNet、MITM 代理、Tor、OpenVPN。
• 研究網(wǎng)絡(luò)連接：攔截?cái)?shù)據(jù)包并獲取 IP 地址列表。
• 即時(shí)訪問(wèn)分析： VM 立即啟動(dòng)分析過(guò)程。
• 監(jiān)控系統(tǒng)進(jìn)程：實(shí)時(shí)觀察惡意軟件行為。
• 收集 IOC： IP 地址、域名、哈希等可用。
• 獲取 MITRE ATT@CK 矩陣：詳細(xì)查看 TTP。
• 有一個(gè)過(guò)程圖：評(píng)估一個(gè)圖中的所有過(guò)程。
• 下載現(xiàn)成的惡意軟件報(bào)告：以方便的格式打印所有數(shù)據(jù)。

所有這些功能都有助于揭示復(fù)雜的惡意軟件并實(shí)時(shí)查看攻擊結(jié)構(gòu)。

嘗試使用交互式方法破解惡意軟件。如果使用 沙箱，可以進(jìn)行惡意軟件分析并享受快速的結(jié)果、簡(jiǎn)單的研究過(guò)程、甚至可以調(diào)查復(fù)雜的惡意軟件并獲得詳細(xì)的報(bào)告。按照步驟，使用智能工具并成功捕獲惡意軟件。