分析惡意軟件的網(wǎng)絡(luò)流量有助于網(wǎng)絡(luò)安全團(tuán)隊(duì)了解其行為、追蹤其來(lái)源并識(shí)別其目標(biāo)。

通過檢查這些連接，分析師可以發(fā)現(xiàn)惡意模式，發(fā)現(xiàn)與命令和控制服務(wù)器的通信，并了解威脅的全部范圍。

以下是網(wǎng)絡(luò)流量分析的五種基本工具。讓我們來(lái)看看每種工具如何簡(jiǎn)化和增強(qiáng)這一過程。

1. 數(shù)據(jù)包分析器

數(shù)據(jù)包分析器（通常稱為“數(shù)據(jù)包嗅探器”）是一種捕獲并檢查網(wǎng)絡(luò)中移動(dòng)的數(shù)據(jù)包的工具。

這使您可以查看受感染系統(tǒng)的所有傳入和傳出數(shù)據(jù)，從而了解惡意軟件如何與命令和控制服務(wù)器通信、泄露數(shù)據(jù)或在網(wǎng)絡(luò)內(nèi)傳播。

例如，跟蹤傳出的數(shù)據(jù)包可以幫助識(shí)別被盜數(shù)據(jù)，包括憑證、cookie 和其他私人信息。

在ANY.RUN 的沙箱中，網(wǎng)絡(luò)流窗口詳細(xì)顯示了每個(gè)連接的數(shù)據(jù)交換，讓您可以分析流量模式和數(shù)據(jù)包內(nèi)容。 

只需選擇一個(gè)特定的連接即可訪問原始網(wǎng)絡(luò)流數(shù)據(jù)，其中接收的數(shù)據(jù)包以藍(lán)色突出顯示，發(fā)送的數(shù)據(jù)包以綠色突出顯示，從而輕松跟蹤通信流并了解惡意軟件的網(wǎng)絡(luò)行為。

2. Suricata IDS

Suricata 是一個(gè)開源入侵檢測(cè)系統(tǒng)(IDS)，可監(jiān)控網(wǎng)絡(luò)流量并具有入侵防御、網(wǎng)絡(luò)安全監(jiān)控和數(shù)據(jù)包捕獲功能。 

Suricata 分析網(wǎng)絡(luò)流量中的已知攻擊模式并標(biāo)記可疑活動(dòng)，幫助實(shí)時(shí)識(shí)別潛在的惡意軟件行為。

Suricata 通過根據(jù)規(guī)則集分析數(shù)據(jù)包和流數(shù)據(jù)來(lái)標(biāo)記潛在威脅，幫助您快速發(fā)現(xiàn)可疑活動(dòng)。 

該工具在惡意軟件執(zhí)行期間提供有關(guān)異常連接或有效負(fù)載的有價(jià)值的警報(bào)。

3. MITM 代理

對(duì)于惡意軟件分析師來(lái)說，發(fā)現(xiàn)加密流量對(duì)于揭露攻擊者的方法和數(shù)據(jù)泄露路線至關(guān)重要。這就是 MITM（中間人）代理發(fā)揮作用的地方。 

MITM 代理工具通過插入自身作為中介來(lái)工作，允許分析師捕獲和解密惡意軟件與其命令和控制(C2) 服務(wù)器之間的 HTTPS 流量。

通過攔截 HTTPS 請(qǐng)求，該工具可以獲取監(jiān)控實(shí)時(shí)流量所需的解密密鑰。此過程使加密信息完全可讀，從而使分析師能夠檢查惡意軟件收集或傳輸?shù)奶囟〝?shù)據(jù)，例如 IP、URL 或被盜憑證。

例如，在 ANY.RUN 的沙箱中，MITM 代理功能允許用戶在有組織的界面內(nèi)查看解密的 HTTPS 流量。分析師可以點(diǎn)擊數(shù)據(jù)包查看通信流的詳細(xì)信息，并查看 SSL 密鑰以進(jìn)行更深入的分析。

這是對(duì) XWorm 惡意軟件樣本的分析，該樣本連接到 Telegram 機(jī)器人以從受感染的系統(tǒng)中竊取數(shù)據(jù)。

使用 MITM 代理，主機(jī)和 Telegram 機(jī)器人之間的流量被解密。

檢查 XWorm 的 GET 請(qǐng)求標(biāo)頭，可以發(fā)現(xiàn)一個(gè) Telegram 機(jī)器人令牌和攻擊者用于接收被盜數(shù)據(jù)的聊天 ID。利用這些組件，我們可以攔截樣本從所有受感染的機(jī)器中竊取的其他數(shù)據(jù)。

4. PCAP 提取器

PCAP Extractor 是一種在惡意軟件分析過程中捕獲和保存網(wǎng)絡(luò)流量數(shù)據(jù)的工具。PCAP 文件（數(shù)據(jù)包捕獲文件）存儲(chǔ)原始網(wǎng)絡(luò)數(shù)據(jù)，包括受感染系統(tǒng)與其外部連接之間傳輸?shù)拿總€(gè)數(shù)據(jù)包。 

通過以 PCAP 格式保存這些數(shù)據(jù)，該工具允許分析師離線或使用其他軟件重新訪問和檢查數(shù)據(jù)包級(jí)別的詳細(xì)信息。

5.惡意軟件沙盒

惡意軟件沙箱是一個(gè)隔離的虛擬環(huán)境，旨在安全地分析惡意文件并觀察其行為，而不會(huì)危及真實(shí)系統(tǒng)。 

沙盒的主要優(yōu)勢(shì)之一是，其中一些將惡意軟件分析所需的所有基本工具（如數(shù)據(jù)包分析器、MITM 代理、IDS 和 PCAP 提取器）集成到一個(gè)地方。這意味著您無(wú)需在不同工具之間切換即可全面了解惡意軟件的運(yùn)行情況。

例如，在 ANY.RUN 等交互式惡意軟件沙箱中，您可以看到所有網(wǎng)絡(luò)連接、HTTP 和 DNS 請(qǐng)求，以及它們?nèi)绾闻c惡意軟件執(zhí)行期間啟動(dòng)的特定進(jìn)程相關(guān)聯(lián)。

這為您提供了威脅的總體視圖，幫助您了解每個(gè)組件如何交互，從而大大增強(qiáng)了檢測(cè)和響應(yīng)力度。

更快地分析惡意軟件的網(wǎng)絡(luò)流量

上述工具對(duì)于分析惡意軟件的網(wǎng)絡(luò)行為非常重要，可以幫助您揭示其如何通信、傳播并可能泄露數(shù)據(jù)。 

但是，通過使用 ANY.RUN 沙箱之類的服務(wù)，您可以結(jié)合使用這些工具，從而更全面地了解每個(gè)進(jìn)程和威脅的全部范圍。