惡意軟件是指由網(wǎng)絡(luò)犯罪分子設(shè)計(jì)的惡意程序,可通過創(chuàng)建后門入口來獲得對(duì)計(jì)算設(shè)備的訪問權(quán),,從而竊取個(gè)人信息,、機(jī)密數(shù)據(jù),實(shí)施對(duì)計(jì)算機(jī)系統(tǒng)的破壞,。為了更好地防護(hù)惡意軟件,,避免由惡意軟件造成的危害,必須對(duì)惡意軟件進(jìn)行分析,,以了解惡意軟件的類型,、性質(zhì)和攻擊方法,。
惡意軟件分析工作主要包括在隔離環(huán)境下分析木馬,、病毒、rootkit,、勒索軟件或間諜軟件等惡意軟件家族的樣本,,運(yùn)用各種方法,根據(jù)其行為了解攻擊者動(dòng)機(jī),、目的及惡意軟件類型和功能等,,并創(chuàng)建規(guī)則來實(shí)施相應(yīng)的緩解措施。當(dāng)我們分析受感染的機(jī)器或文件時(shí),,我們的目標(biāo)主要包括:
識(shí)別受感染的文件,,檢測(cè)計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)系統(tǒng)中可能存在的惡意軟件;
了解可疑惡意軟件的功能,;
全面評(píng)估和管理惡意軟件可能造成的損害,;
對(duì)惡意軟件進(jìn)行指標(biāo)分析,為后續(xù)檢測(cè)和防護(hù)產(chǎn)品研發(fā)創(chuàng)建正確的規(guī)則措施,。
有效的惡意軟件分析可以幫助安全團(tuán)隊(duì)快速檢測(cè)并防止攻擊者實(shí)施破壞活動(dòng),。本文將重點(diǎn)介紹目前常見的惡意軟件分析方法及相關(guān)工具。
靜態(tài)惡意軟件分析
靜態(tài)惡意軟件分析包括提取和檢查不同二進(jìn)制組件和可執(zhí)行文件的靜態(tài)行為,,比如API 標(biāo)頭,、引用的DLL、便攜式可執(zhí)行(PE)區(qū)域以及更多此類內(nèi)容,。任何有悖于正常結(jié)果的偏差都記錄在靜態(tài)調(diào)查中,。靜態(tài)分析在不執(zhí)行惡意軟件的情況下完成,而動(dòng)態(tài)分析一般是在受控環(huán)境下執(zhí)行惡意軟件來進(jìn)行,。
在靜態(tài)分析中,,涉及以下幾個(gè)方面的工作:
1.反匯編——程序可以移植到新的計(jì)算機(jī)平臺(tái)上,,通過在不同環(huán)境中編譯源代碼來實(shí)現(xiàn)。
2.文件指紋——用于識(shí)別和跟蹤網(wǎng)絡(luò)上的數(shù)據(jù),。
3.病毒掃描——?jiǎng)h除惡意軟件,、病毒、間諜軟件及其他威脅,。
4.分析內(nèi)存工件——在分析內(nèi)存工件(比如RAM轉(zhuǎn)儲(chǔ),、pagefile.sys或hiberfile.sys)期間,檢查方可以開始識(shí)別流氓進(jìn)程,。
5.打包器檢測(cè)——用于檢測(cè)打包器,、密碼器、編譯器,、打包器加擾器,、連接器和安裝器。
靜態(tài)分析工具包括:
Hybrid-analysis——使用獨(dú)特的混合分析技術(shù),,檢測(cè)和分析未知威脅,。
Virustotal.com——該免費(fèi)服務(wù)可以分析可疑的文件和URL。
BinText——該文件文本掃描器/提取器可幫助查找深藏在二進(jìn)制文件中的字符串,。
Dependency Walker——該免費(fèi)程序可列出便攜式可執(zhí)行文件的導(dǎo)入和導(dǎo)出模塊,。
IDA——該程序可以將機(jī)器語言轉(zhuǎn)換成匯編語言。
Md5deep——這套跨平臺(tái)工具可計(jì)算和審核輸入文件的散列(Hash),。
PEiD——可針對(duì)便攜式可執(zhí)行(PE)文件檢測(cè)大多數(shù)常見的打包器,、加密器和編譯器等。
Exeinfo PE——該軟件可查看任何可執(zhí)行文件的各種信息,。
RDG Packer——可檢測(cè)打包器,、加密器和編譯器等。
D4dot——該工具擅長(zhǎng)將打包和混淆的程序集恢復(fù)到幾乎原始的程序集,。
PEview——可快速輕松地查看32位PE文件和組件對(duì)象文件格式(COFF)的結(jié)構(gòu)和內(nèi)容,。
動(dòng)態(tài)惡意軟件分析
動(dòng)態(tài)惡意軟件分析是分析師發(fā)現(xiàn)惡意軟件功能的首選方法。在動(dòng)態(tài)分析中,,分析師將構(gòu)建用作惡意軟件分析的虛擬機(jī),。分析師將通過沙盒來分析惡意軟件,并分析惡意軟件生成的數(shù)據(jù)包數(shù)據(jù),。在動(dòng)態(tài)分析中,,隔離環(huán)境以避免惡意軟件逃逸非常重要。
在動(dòng)態(tài)分析中,,需要注意以下幾個(gè)問題:
檢查單個(gè)路徑(執(zhí)行跟蹤)
分析環(huán)境可能并非隱形的
分析環(huán)境可能并非全面的
動(dòng)態(tài)分析工具包括:
Procmon——這款先進(jìn)的監(jiān)控工具可顯示文件系統(tǒng),、注冊(cè)表和進(jìn)程/線程的實(shí)時(shí)活動(dòng)。
Process Explorer——這是一款面向Windows操作系統(tǒng)的系統(tǒng)資源監(jiān)控工具。
Anubis——該動(dòng)態(tài)惡意軟件分析平臺(tái)可在受控環(huán)境下執(zhí)行提交的二進(jìn)制代碼,。
Comodo Instant Malware Analysis——比較容易使用和理解的在線沙盒服務(wù),。
Process MonitorRegshot——這款流行的注冊(cè)表監(jiān)控工具可顯示文件系統(tǒng)、注冊(cè)表和進(jìn)程/線程的實(shí)時(shí)活動(dòng),。
ApateDNS——該工具通過易于使用的GUI來控制DNS響應(yīng),。
OllyDbg——一款側(cè)重二進(jìn)制代碼分析的x86調(diào)試器。
Regshot——這款開源注冊(cè)表比較工具可迅速獲取注冊(cè)表的快照,,并進(jìn)行比對(duì),。
Netcat——該計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用工具使用TCP或UDP協(xié)議在網(wǎng)絡(luò)中讀取數(shù)據(jù)。
Wireshark——該免費(fèi)開源數(shù)據(jù)包分析器可用于網(wǎng)絡(luò)故障排查,、分析,、軟件和通信協(xié)議開發(fā)等。
內(nèi)存取證分析
內(nèi)存取證分析含有關(guān)于系統(tǒng)運(yùn)行時(shí)狀態(tài)的信息,,并提供將來自傳統(tǒng)取證分析工件(網(wǎng)絡(luò),、文件系統(tǒng)和注冊(cè)表)關(guān)聯(lián)起來的功能。
在內(nèi)存分析中,,涉及以下幾個(gè)方面的工作:
映像全部的系統(tǒng)內(nèi)存(不依賴API調(diào)用),。
將進(jìn)程的整個(gè)地址空間映像到磁盤,包括進(jìn)程的已加載DLL,、EXE,、堆和堆棧。
將內(nèi)存中加載的指定驅(qū)動(dòng)程序或所有驅(qū)動(dòng)程序映像到磁盤,。
加密進(jìn)程地址空間中的EXE和DLL(MD5、SHA1,、SHA256),。
驗(yàn)證EXE和DLL的數(shù)字簽名(基于磁盤)。
針對(duì)某個(gè)進(jìn)程,,輸出內(nèi)存中的所有字符串,。
內(nèi)存取證分析工具包括:
WinDbg——Windows系統(tǒng)的內(nèi)核調(diào)試器。
Muninn ——使用Volatility自動(dòng)執(zhí)行部分分析的腳本,。
DAMM ——基于Volatility,,針對(duì)內(nèi)存中惡意軟件的差異分析。
FindAES ——查找內(nèi)存中的AES加密密鑰,。
Volatility ——先進(jìn)的內(nèi)存取證框架,。
惡意軟件檢測(cè)
惡意軟件檢測(cè)是指掃描計(jì)算機(jī)和文件以檢測(cè)惡意軟件的過程。它不是單向過程,,實(shí)際上相當(dāng)復(fù)雜,。它結(jié)合多款工具和方法進(jìn)行檢測(cè),檢測(cè)和清除過程通常在50秒鐘內(nèi)完成,在惡意軟件檢測(cè)方面卓有成效,。
以下是常見的幾種檢測(cè)方式:
基于特征或模式的匹配:特征是識(shí)別特定病毒唯一身份的算法或散列(從文本字符串獲取的數(shù)字),。
啟發(fā)式分析或主動(dòng)防御:?jiǎn)l(fā)式掃描類似特征掃描,只不過啟發(fā)式掃描并非尋找特定的特征,,而是在程序中尋找典型應(yīng)用程序中沒有的某些指令或命令,。
基于規(guī)則:?jiǎn)l(fā)式引擎中進(jìn)行分析的組件(分析器)從文件中提取某些規(guī)則,并將這些規(guī)則與惡意代碼的一組規(guī)則進(jìn)行比較,。
行為分析:相比之下,,可疑行為分析方法不是試圖識(shí)別已知病毒,而是監(jiān)測(cè)所有程序的行為,。
基于權(quán)重:根據(jù)危險(xiǎn)程度,,對(duì)所檢測(cè)的每個(gè)功能賦予某個(gè)權(quán)重。
沙盒:允許文件在受控的虛擬系統(tǒng)(即沙盒)中運(yùn)行,,查看其行為,。
惡意軟件檢測(cè)工具包括:
YARA——分析員的模式匹配工具。
Yara規(guī)則生成器——根據(jù)一組惡意軟件樣本生成YARA規(guī)則,。
File Scanning Framework——模塊化遞歸式文件掃描解決方案,。
hash deep——使用多種算法計(jì)算摘要散列。
Loki——基于主機(jī)的掃描器,,掃描攻陷指標(biāo)(IOC),。
Malfunction——在函數(shù)層面對(duì)惡意軟件進(jìn)行登記和比較。
MASTIFF——靜態(tài)分析框架,。
網(wǎng)絡(luò)交互分析
網(wǎng)絡(luò)交互分析在專注于網(wǎng)絡(luò)安全的同時(shí),,還監(jiān)控綜合平臺(tái),以執(zhí)行更普通的網(wǎng)絡(luò)流量分析,。被動(dòng)網(wǎng)絡(luò)嗅探器/數(shù)據(jù)包捕獲工具可用于檢測(cè)操作系統(tǒng),、會(huì)話、主機(jī)名和開放端口等,,并不在網(wǎng)絡(luò)上帶來任何流量,。可分析以太網(wǎng),、PPP,、SLIP、FDDI,、令牌環(huán)和空接口上的IPv4/6,、TCP、UDP,、ICMPv4/6,、IGMP和Raw流量,采用與數(shù)據(jù)包嗅探相同的方式理解BPF過濾器邏輯。
網(wǎng)絡(luò)交互分析工具包括:
?Tcpdump——收集網(wǎng)絡(luò)流量,。
?tcpick——從網(wǎng)絡(luò)流量中跟蹤和重組TCP數(shù)據(jù)流,。
?tcpxtract——從網(wǎng)絡(luò)流量中提取文件。
?Wireshark——網(wǎng)絡(luò)流量分析工具,。
?CapTipper——惡意HTTP流量管理器,。
?Chopshop——協(xié)議分析和解碼框架。
?CloudShark——基于Web的工具,,用于分析數(shù)據(jù)包和檢測(cè)惡意軟件流量,。
代碼調(diào)試器
代碼調(diào)試器是實(shí)用的惡意軟件分析工具,允許在底層分析代碼,。調(diào)試器的重要功能是斷點(diǎn)(breakpoint),。斷點(diǎn)命中時(shí),程序執(zhí)行被停止,,并將控制權(quán)交給調(diào)試器,,允許對(duì)當(dāng)時(shí)的環(huán)境進(jìn)行惡意軟件分析。調(diào)試器可利用專門的中央處理單元(CPU)工具,,可以讓用戶深入了解程序如何執(zhí)行任務(wù),,并訪問被調(diào)試程序的環(huán)境等。這在分析惡意軟件時(shí)可能很有用,,因?yàn)榭梢宰層脩艨吹秸{(diào)試器如何嘗試檢測(cè)篡改,,并跳過有意插入的垃圾指令。
調(diào)試工具包括:
?obj dump——GNU Binutils 的一部分,,用于Linux二進(jìn)制代碼的靜態(tài)分析,。
?OllyDbg——Windows可執(zhí)行文件的匯編級(jí)調(diào)試器。
?FPort——報(bào)告實(shí)時(shí)系統(tǒng)中敞開的TCP/IP和UDP端口,,并將它們映射到對(duì)應(yīng)的應(yīng)用程序,。
?GDB——GNU調(diào)試器。
?IDA Pro——Windows反匯編器和調(diào)試器,,有免費(fèi)評(píng)估版。
?Immunity Debugger——用于分析惡意軟件的調(diào)試器,,附有Python API,。
惡意URL分析
如今,網(wǎng)站暴露在各種威脅面前,,受感染的網(wǎng)站將被用作跳板,,幫助攻擊者達(dá)到邪惡目的。比如,,URL重定向機(jī)制已被廣泛用于隱蔽地執(zhí)行基于Web的攻擊,。重定向是指自動(dòng)替換訪問目的地,一般由Web上的HTTP協(xié)議加以控制。除了這種傳統(tǒng)方法外,,還經(jīng)常使用自動(dòng)訪問外部Web內(nèi)容(比如iframe標(biāo)簽)的其他方法,。惡意URL分析是通過機(jī)器學(xué)習(xí)等方式,分析URL文本分詞詞頻來檢測(cè)惡意URL,。
惡意URL分析工具包括:
?Firebug——用于Web開發(fā)的Firefox擴(kuò)展件,。
?Java Decompiler——反編譯和檢查Java應(yīng)用程序。
?jsunpack-n——模擬瀏覽器功能的javascript解包器,。
?Krakatau——Java 反編譯器,、匯編器和反匯編器。
?Malzilla——分析惡意網(wǎng)頁,。
沙盒技術(shù)
沙盒是一個(gè)重要的安全分析系統(tǒng),,可以隔離程序,防止惡意或失敗的項(xiàng)目損害或窺視PC上的任何剩余部分,。沙盒是嚴(yán)格控制的環(huán)境,,限制了一部分代碼可以執(zhí)行的操作。
沙盒分析工具包括:
?firmware.re——可以拆解,、掃描和分析幾乎任何固件包,。
?Hybrid Analysis——基于VxSandbox的在線惡意軟件分析工具。
?IRMA——用于分析可疑文件的異步可定制分析平臺(tái),。
?Cuckoo Sandbox——開源自托管的沙盒和自動(dòng)分析系統(tǒng),。
?cuckoo-modified——使用GPL許可證的Cuckoo Sandbox的修改版。
?PDF Examiner——分析可疑的PDF文件,。
?ProcDot——圖形化惡意軟件分析工具包,。
?Recomposer——將二進(jìn)制代碼安全地上傳到沙盒的幫助腳本。
?Sand droid——自動(dòng)完整的安卓應(yīng)用程序分析系統(tǒng),。
網(wǎng)域分析
網(wǎng)域分析是指安全分析師了解背景信息,、檢查網(wǎng)域和IP地址的過程。網(wǎng)域分析應(yīng)該包括已找到信息的簡(jiǎn)要總結(jié),,以及使其他人能夠找到該信息的參考資料,。
網(wǎng)域分析工具包括:
?SpamCop——基于IP的垃圾郵件阻止列表。
?SpamHaus——基于網(wǎng)域和IP的阻止列表,。
?Sucuri SiteCheck——免費(fèi)的網(wǎng)站惡意軟件和安全掃描器,。
?TekDefense Automatic——用于收集有關(guān)URL、IP或散列的OSINT工具,。
?URLQuery——免費(fèi)的URL掃描器,。
?IPinfo——通過搜索在線資源,收集有關(guān)IP或網(wǎng)域的信息,。
?Whois——免費(fèi)在線whois搜索,。
?Mail checker——跨語言的臨時(shí)電子郵件檢測(cè)庫(kù),。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
