恶意软件分析环境 cuckoo+malwasm

标签: 综合新闻 | 发表时间:2013-06-17 12:28 | 作者:
出处:http://www.oschina.net/?from=rss

分析恶意软件malicious ware有很多方法。请容我不自量力推荐两个开放源代码的免费系统 CuckooMalWasm。这是一个虚拟化环境下的恶意软件分析系统。

基于虚拟化进行程序分析有很多优点:

  • 整机内存可以dump出来,并且可以随时做snapshot;
  • 多数网络通讯可以分析;
  • 无论杀毒软件如何吹嘘它们的启发式分析引擎,但是xss的故事已经证明区区XOR加密就可以将他们全部bypass。但是行为分析锁定的是行为不是吗?
  • 综上,对浏览器的攻击可以通过分析文件行为进行。攻击浏览器不是什么新鲜事了,但是浏览器和游戏程序差不多庞大、多种运行机制(JS和flash、各种网银的activeX都有自己的Rendor),直接使用键盘调试恐怕是要按到手抽筋!
  • 效率和人性化,真的是很赞!

言归正传,继续看本文的主角Cuckoo和MalMAsm吧!

Cuckoo 的全称是OpenSource Cuckoo Sandbox Project。它由我所尊敬的一些安全先驱开发,其中一些人也是开源honeyspot 的contributor。实际上在2010年的时候Cuckoo还是honeyNET的一个子项目。这些前辈独到的蜜罐网络研发的技巧,让Cuckoo可以轻而易举的进行URL分析、网络通讯分析、程序分析、pdf分析。

整体上,Cuckoo基于虚拟机技术,使用中央控制系统和模块设计,结合python的自动化特征,已经是颇为自动化的恶意软件行为研究环境。

出于研发历史的考量,个人推荐使用debian或ubuntu主机安装virtualbox当作Cuckoo Host,WinXP做guest。实际上Cuckoo也支持Macox和KVM 等其他环境,也支持Windows7做guest—不过调试环境还是稳定优先吧?

Cuckoo Archtecture

 

如果只是纯粹为程序的抽象行为做分析,则也有傻瓜的平方级别的工具 MalWAsm。按照官方的document进行安装之后,

  • 在CuckooSandbox环境直接运行可疑的东西;
  • MalMasm会利用pintool将程序行为全部log;
  • MalMasm将所有行为存储在PostGres数据库;
  • MalMAsm 有web front,研究员可以直接在网页里查看程序行为;

要说您不懂汇编也想分析分析软件、网页什么的,这2款开源环境应该够您用了。

如果说您是资深分析人士,利用这些环境应该可以大大提升分析效率。哪怕是程序进行了加密,行为级别的记录也很有帮助吧!

不过有3点提醒:

  1. virtualization 是guest awareness 的。如果恶意软件的作者有足够的反调试经验,则在虚拟机上运行程序的时候,它的行为会与在物理机上运行的行为将不一样。虽然说足够聪明的您也有足够的手段让程序不awared,但是程序作弊的可能还是需要考虑。
  2. 加密的tcp通讯几乎不可能直接分析。在进行进一步研究之前,还是看看程序行为再找调试点比较好。例如我发在qq空间的帖子说过,https是http+ssl,截获ssl封装之前的http通讯就基本够专业了—具体方法可以网上搜索。当然碰见利用SOAP的人渣还要再比他们还要人渣一点才能分析—话说恶意软件一般会写那么庞大吗(我可不识数)?
  3. 干这行的人渣比较多,关系比较硬的也很打不死的也存在哦。不是说你发现什么问题就可以公开的是不是?人家是老虎你还不如苍蝇的可能性绝对存在是不是?低调比较必要是不是?

我听见哪位读着说“再傻瓜一些的傻瓜三次方的分析环境”您也需要?哎呀,三次元的傻瓜是啥意思来的?

相关 [恶意软件 分析 环境] 推荐:

恶意软件分析环境 cuckoo+malwasm

- - 开源中国社区最新新闻
分析恶意软件malicious ware有很多方法. 请容我不自量力推荐两个开放源代码的免费系统 Cuckoo和 MalWasm. 这是一个虚拟化环境下的恶意软件分析系统. 基于虚拟化进行程序分析有很多优点:. 整机内存可以dump出来,并且可以随时做snapshot;. 无论杀毒软件如何吹嘘它们的启发式分析引擎,但是xss的故事已经证明区区XOR加密就可以将他们全部bypass.

Mac并非固若金汤 恶意软件数量上升

- 品味视界 - cnBeta.COM
据国外媒体报道,安全公司Bitdefender的在线威胁实验室主管Catalin Cosoi指出,很多Mac用户都认为Mac OS固若金汤,不会 受恶意软件的侵害. 实际上,确实相比之下Windows用户受恶意软件入侵的危险要高于Mac用户,但是Mac并非完全固若金汤,而只是能威胁它的恶意软 件相对较少罢了,相较于Windows的4千万恶意软件,Mac OS只受几百款恶意软件的威胁.

新的 Android 恶意软件“命中” 62 万中国用户

- - 爱范儿 · Beats of Bits
安全公司网秦在中国发现一款名为 Bill Shocker 的恶意软件,目前该软件已感染 62 万 Android 用户. Bill Shocker 有别于一般的恶意软件——开发者将其设计成一个 SDK,通过感染时下热门的应用程序来影响用户,这些应用程序包括 QQ、搜狐新闻等. 被感染的应用程序通常来自第三方应用商店和零售安装渠道.

微软:WinXP恶意软件感染率是Win8的6倍

- - cnBeta.COM业界资讯
微软恶意软件保护中心(Malware Protection Center)高级项目主管Holly Stewart在接受媒体采访时陈述了不少关键信息,包括微软在过去的版本中从未发布的信息. 这一部分提供了微软目前支持Windows操作系统软件的恶意程序遭遇几率(encounter rate). 在上面的图表中不难看出,Windows XP的恶意软件遭遇率比Vista/7低,仅比Windows 8高出少许.

恶意软件隐藏新技巧 – 密写

- - 极客范 - GeekFan.net
“密写”技术在很多侦探小说和谍战电影中经常会出现. 间谍用密写药水把情报写在白纸上, 收到情报的上级再通过显影技术把情报还原出来. 最近, 戴尔SecurityWorks的安全研究人员Brett Stone-Gross发表了一个报告, 发现了一个新型恶意软件“潜伏”,这个恶意软件的最大特点就是,把 恶意代码 通过隐藏在 BMP 图片的像素中以躲避杀毒软件.

R语言:优雅、卓越的统计分析及绘图环境

- - 技术改变世界 创新驱动中国 - 《程序员》官网
R语言由新西兰奥克兰大学的Ross Ihaka和Robert Gentleman两人共同发明,其词法和语法分别源自Scheme和S语言,一般认为R语言是S语言【注:John Chambers,贝尔实验室,1972】的一种方言. R是“GNU S”,一个能够自由有效地用于统计计算和绘图的语言和环境,它提供了广泛的统计分析和绘图技术,包括线性和非线性模型、统计检验、时间序列、分类、聚类等方法.

某个号称史上最大的恶意软件的传播方式

- - wettuy's blog
这几天卡巴等安全厂商爆出了一个主程序文件6MB,生成文件超过20MB的“超级病毒”Flamer. 既然说是蠕虫,当然Flamer能自我复制传播. 目前从各安全厂商和实验室的文章中,可以确定这种蠕虫至少有5种自我传播的方式,其中有一种是比较新颖的,要重点介绍. Flamer利用了这种方式传播. 2、通过desktop.ini来创建特殊文件夹,使用对象{0AFACED1-E828-11D1-9187-B532F1E9575D} 使文件夹变为一个执行其内target.lnk快捷方式的“文件夹快捷方式”.

F-Secure:Google Play靠谱 Android用户无需过度担心恶意软件

- - cnBeta.COM业界资讯
F-Secure的研究指出,在去年(2013),仅有0.1%的恶意软件成功地渗入了官方应用市场——Google Play. 此外,F-Secure还指出,Google在清理Play商店里的应用方面,速度已经快了很多. 也就是说,即使真有害群之马,Google Play中的恶意软件的“存活期”,也绝对不长.

如何避免恶意软件:详解 iOS 应用安全机制

- - 少数派
近几年移动设备性能的飞跃式发展,使得更为强大的移动 App 成为可能. 这些 App 在极大地丰富了我们生活的同时,也带来了潜在的安全隐患. 不像桌面电脑,我们的移动设备上存储了大量的个人隐私,许多网站也将「短信验证码」作为用户身份验证的关键一环. 这些信息一旦泄露,后果不堪设想. 而在诸多移动平台中,iOS 以其几乎百毒不侵的安全性著称.

新恶意软件 iWorm 已感染全球1.7万台 Mac 电脑

- - 开源中国社区最新新闻
北京时间10月4日早间消息,信息安全研究人员近期发现,全球超过1.7万台Mac电脑已经感染了一种名为“iWorm”的新的OS X恶意软件. 这种恶意软件曾使用Reddit网站作为传播媒介,能窃取用户数据,触发多种系统操作,并执行Lua脚本. Web在病毒库中将这一恶意软件标记为“Mac.BackDoor.iWorm”.