資訊專欄INFORMATION COLUMN
摘要:分析惡意軟件有很多方法。這是一個虛擬化環境下的惡意軟件分析系統。整體上,基于虛擬機技術,使用中央控制系統和模塊設計,結合的自動化特征,已經是頗為自動化的惡意軟件行為研究環境。加密的通訊幾乎不可能直接分析。
分析惡意軟件(malicious ware)有很多方法。請容我不自量力推薦兩個開放源代碼的免費系統 Cuckoo 和 MalWasm 。這是一個虛擬化環境下的惡意軟件分析系統。
基于虛擬化進行程序分析有很多優點:
整機內存可以dump出來,并且可以隨時做snapshot;
多數網絡通訊可以分析;
無論殺毒軟件如何吹噓它們的啟發式分析引擎,但是xss的故事已經證明區區XOR加密就可以將他們全部bypass。但是行為分析鎖定的是行為不是嗎?
綜上,對瀏覽器的攻擊可以通過分析文件行為進行。攻擊瀏覽器不是什么新鮮事了,但是瀏覽器和游戲程序差不多龐大、多種運行機制(JS和flash、各種網銀的activeX都有自己的Rendor),直接使用鍵盤調試恐怕是要按到手抽筋!
效率和人性化,真的是很贊!
言歸正傳,繼續看本文的主角Cuckoo和MalMAsm吧!
Cuckoo 的全稱是OpenSource Cuckoo Sandbox?Project。它由我所尊敬的一些安全先驅開發,其中一些人也是開源honeyspot?的contributor。實際上在2010年的時候Cuckoo還是honeyNET的一個子項目。這些前輩獨到的蜜罐網絡研發的技巧,讓Cuckoo可以輕而易舉的進行URL分析、網絡通訊分析、程序分析、pdf分析。
整體上,Cuckoo基于虛擬機技術,使用中央控制系統和模塊設計,結合python的自動化特征,已經是頗為自動化的惡意軟件行為研究環境。
出于研發歷史的考量,個人推薦使用debian或ubuntu主機安裝virtualbox當作Cuckoo Host,WinXP做guest。實際上Cuckoo也支持Macox和KVM 等其他環境,也支持Windows7做guest—不過調試環境還是穩定優先吧?
如果只是純粹為程序的抽象行為做分析,則也有傻瓜的平方級別的工具MalWAsm。按照官方的document進行安裝之后,
在CuckooSandbox環境直接運行可疑的東西;
MalMasm會利用pintool將程序行為全部log;
MalMasm將所有行為存儲在PostGres數據庫;
MalMAsm 有web front,研究員可以直接在網頁里查看程序行為;
要說您不懂匯編也想分析分析軟件、網頁什么的,這2款開源環境應該夠您用了。
如果說您是資深分析人士,利用這些環境應該可以大大提升分析效率。哪怕是程序進行了加密,行為級別的記錄也很有幫助吧!
不過有3點提醒:
virtualization 是guest awareness 的。如果惡意軟件的作者有足夠的反調試經驗,則在虛擬機上運行程序的時候,它的行為會與在物理機上運行的行為將不一樣。雖然說足夠聰明的您也有足夠的手段讓程序不awared,但是程序作弊的可能還是需要考慮。
加密的tcp通訊幾乎不可能直接分析。在進行進一步研究之前,還是看看程序行為再找調試點比較好。例如我發在qq空間的帖子說過,https是http+ssl,截獲ssl封裝之前的http通訊就基本夠專業了—具體方法可以網上搜索。當然碰見利用SOAP的人渣還要再比他們還要人渣一點才能分析—話說惡意軟件一般會寫那么龐大嗎(我可不識數)?
干這行的人渣比較多,關系比較硬的也很打不死的也存在哦。不是說你發現什么問題就可以公開的是不是?人家是老虎你還不如蒼蠅的可能性絕對存在是不是?低調比較必要是不是?
我聽見哪位讀著說“再傻瓜一些的傻瓜三次方的分析環境”您也需要?哎呀,三次元的傻瓜是啥意思來的?
via idf.cn
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11077.html
摘要:長期以來,無論是學習試驗,還是在生產基礎上進行部署,安全專業人員都將開源軟件視為其工具包的重要組成部分。本文將列出個程序員應該知道的免費安全工具這是現在最受歡迎的漏洞掃描器,也是目前第三大流行安全程序。是開源項目的核心,基于免費的開源版本。長期以來,無論是學習、試驗,還是在生產基礎上進行部署,安全專業人員都將開源軟件視為其工具包的重要組成部分。本文將列出 10 個程序員應該知道的免費 IT ...
摘要:本文將分享軟件基本用法及文件進程注冊表查看,這是一款微軟推薦的系統監視工具,功能非常強大可用來檢測惡意軟件。可以幫助使用者對系統中的任何文件注冊表操作進行監視和記錄,通過注冊表和文件讀寫的變化,有效幫助診斷系統故障或發現惡意軟件病毒及木馬。 ...
摘要:從世界各地博客訪客的留言中,他燃起了寫作逆向工程核心原理這本書的想法。其實要想成為逆向工程師,也不一定非要從開發人員做起。攻擊越強,防御也會越強。腳本文件越多安裝到用戶的越多,腳本病毒也就越多。 非商業轉載請注明作譯者、出處,并保留本文的原始鏈接:http://www.ituring.com.cn/article/117584 李承遠是韓國逆向工程技術專家,目前負責帶領Ahn...
摘要:據開發者稱,他的帳戶被劫持并用于部署該庫的三個惡意版本。報告指出,惡意軟件包被稱為編目為以及和編目為。研究人員無法完全確定惡意行為者計劃如何針對開發人員。月份網絡攻擊者對進行了加密挖掘攻擊月份發現了加密挖掘惡意軟件。 UA-Parser-JS 項目被劫持安裝惡意軟件 10月22日,攻擊者發布了惡意版本的UA-Parser-JS NPM庫,以在Linux和Windows設備上安裝加...
閱讀 904·2021-09-29 09:35
閱讀 1252·2021-09-28 09:36
閱讀 1521·2021-09-24 10:38
閱讀 1066·2021-09-10 11:18
閱讀 630·2019-08-30 15:54
閱讀 2496·2019-08-30 13:22
閱讀 1963·2019-08-30 11:14
閱讀 697·2019-08-29 12:35
