在本文中,用沙意软我们将分解恶意程序调查的箱进行恶析目标以及如何使用沙箱进行恶意软件分析。
恶意软件分析是研究恶意样本的过程。在研究过程中,用沙意软研究人员的箱进行恶析目标是了解恶意程序的类型、功能、何利代码和潜在危险。用沙意软接收组织需要响应入侵的箱进行恶析信息。
得到的何利分析结果:
|
静态和动态恶意软件分析 |
在这五个步骤中,调查的主要重点是尽可能多地找出恶意样本、执行算法以及恶意软件在各种场景中的工作方式。
我们认为,分析恶意软件最有效的方法是混合使用静态和动态方法。这是有关如何进行恶意软件分析的简短指南。只需按照以下步骤操作:
可以自定义具有特定要求的 VM,例如浏览器、Microsoft Office、选择操作系统位数和区域设置。添加用于分析的工具并将它们安装在 VM 中:FakeNet、MITM 代理、Tor、VPN。也可以在沙箱中轻松完成,以ANY.RUN为例:
ANY.RUN 中的 VM 自定义 |
这是静态恶意软件分析的阶段。在不运行的情况下检查可执行文件:检查字符串以了解恶意软件的功能。哈希、字符串和标头的内容将提供恶意软件意图的概述。
例如,在下面的屏幕截图中,我们可以看到 Formbook 示例的哈希、PE Header、mime 类型和其他信息。为了简要了解功能,我们可以查看恶意软件分析示例中的 Import 部分,其中列出了所有导入的 DLL。
PE文件的静态发现 |
这是恶意软件分析的动态方法。在安全的虚拟环境中上传恶意软件样本。直接与恶意软件交互以使程序采取行动并观察其执行情况。检查网络流量、文件修改和注册表更改。以及任何其他可疑事件。
在我们的在线沙盒示例中,我们可能会查看网络流内部,以接收到 C2 的骗子凭据信息以及从受感染机器上窃取的信息。
攻击者的凭据 |
审查被盗数据 |
如果威胁参与者混淆或打包代码,请使用反混淆技术和逆向工程来揭示代码。识别在先前步骤中未公开的功能。即使只是寻找恶意软件使用的功能,也可能会说很多关于它的功能。例如,函数“InternetOpenUrlA”表明该恶意软件将与某个外部服务器建立连接。
在这个阶段需要额外的工具,比如调试器和反汇编器。
包括发现的所有发现和数据。提供以下信息:
现代防病毒软件和防火墙无法应对未知威胁,例如有针对性的攻击、零日漏洞、高级恶意程序和未知签名的危险。所有这些挑战都可以通过交互式沙箱来解决。
互动性是我们服务的主要优势。使用 ANY.RUN,可以直接处理可疑样本,就像在个人计算机上打开它一样:单击、运行、打印、重新启动。可以处理延迟的恶意软件执行并制定不同的方案以获得有效的结果。
在调查期间,可以:
所有这些功能都有助于揭示复杂的恶意软件并实时查看攻击结构。
尝试使用交互式方法破解恶意软件。如果使用 沙箱,可以进行恶意软件分析并享受快速的结果、简单的研究过程、甚至可以调查复杂的恶意软件并获得详细的报告。按照步骤,使用智能工具并成功捕获恶意软件。
责任编辑:华轩 来源: 河南等级保护测评 网络安全计算机恶意软件(责任编辑:百科)