十分钟学会恶意样本分析,一眼看透无所遁形

一、关于恶意软件

恶意软件是尝试破坏计算机、搜集敏感信息或者非法访问其他计算机的软件, 它对个人隐私信息、商业机密甚至是国家安全都会造成很大的威胁。

2017年WannaCry勒索病毒的爆发,是迄今为止最严重的勒索病毒事件,至少150个国家、30万名用户中招,造成损失达80亿美元;Conficker蠕虫病毒感染数千万台电脑,史上袭击范围最广的Conficker蠕虫病毒曾感染了全球200多个国家的数千万台Windows个人电脑。

本期“安仔课堂”,ISEC实验室吴老师跟大家一起针对恶意软件进行分析,了解其行为特征,十分钟学会恶意样本分析,一眼看透无所遁形。

Cuckoo sandbox是一个开源的恶意文件自动化分析系统,采用Python和C/C++开发,跨越Windows、Android、Linux和Darwin四种操作系统平台,支持二进制的PE文件(exe、dll、com)、PDF文档、Office文档、URL、HTML文件、各种脚本(PHP、VB、Python)、JAR包、Zip文件等等几乎所有的文件格式,能分析恶意文件的静态二进制数据和动态运行后的进程、网络、文件等行为,对于恶意文件的初步分析定性具有很大帮助。

Cuckoo的分析结果包含如下内容:
(1)函数以及API调用的Call Trace;
(2)应用拷贝和删除的文件;
(3)选定进程的内存镜像;
(4)分析机的full memory dump;
(5)恶意软件执行时的截屏;
(6)分析机产生的网络流量。

 

二、Cuckoo的部署

下图是Cuckoo的部署,分为host和guests。

图1

1.Host(管理机)

负责管理guests、启动分析工作、网络流量收集等。

host依赖一些开源软件,例如tcpdump用于Guest网络拦截、Volatility用于内存的dump。

2.Guest(虚拟机)

Guest是通用的虚拟机,Xen、VirtualBox等。它运行Cuckoo的Agent,接收Host发过来的任务(文件)运行后获取信息。

Agent是跨平台的Python脚本,可以在Windows、Linux和MAC OS上运行。它实际是一个XMLRPC server,等待连接。

 

三、Host环境搭建

1.安装Cuckoo

$ sudo pip install -U pip setuptools
$ sudo pip install -U cuckoo

2.数据库依赖库

(1)如要使用Cuckoo sandbox自带web程序,需安装mongodb;
(2)Cuckoo sandbox默认使用sqlite数据库,如要使用mysql,需安装mysql和MySQL-python。

3.网络数据包捕获

Host使用tcpdump捕获网络数据包?

(1)安装tcpdump

$ sudo apt-get install tcpdump

(2)启用root账户

$ sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

(3)验证启用是否成功

$ getcap /usr/sbin/tcpdump /usr/sbin/tcpdump=cap_net_admin,cap_net_raw+eip

4.虚拟机软件

Cuckoo sandbox支持多种虚拟机,包括vmware、virtualbox、esx、kvm、vsphere、xenserver,选择一种你最熟悉的。

此处简单介绍virtualbox的安装:
Virtualbox是开源软件,功能可满足Cuckoo sandbox的使用。

安装命令:

$ sudo apt-get install virtualbox

 

四、Guest环境搭建

本文主要讲Windows恶意文件分析环境,所以Guest为Windows操作系统。

Guest支持winxp和win7,使用win7时,需关闭User Access(用户账户控制)。

下面以win7为例,讲述安装过程:

1.win7虚拟机安装

使用Host中已安装的虚拟机软件,安装win7虚拟机。
注:win7虚拟机无需打补丁,无需安装杀毒软件、安全卫士

2.Python运行环境

(1)2.7.6以上任何一个稳定的2.7版本都可以,
附下载链接:


图2

(2)PIL(Python Image Library)用于恶意文件运行过程中对桌面进行截屏,安装版本需与Python库版本一致。
附下载链接:


图3

3.win7环境配置

(1)关闭Windows自动更新;

(2)关闭Windwos防火墙;

(3)关闭用户账户控制。

4.网络环境配置

(1)使用Host-Only(仅主机模式)上网方式;
注:virtualbox需手动新建Host-Only模式,如下图:

图4

(2)将win7网络地址配置到Host-Only模式网段;

(3)保证Host和Guest能正常通信,可使用ping命令测试;

(4)现在许多恶意文件都需要网络环境才能运行,所以还需将win7配置到能访问外部网络环境。Cuckoo sandbox使用iptables配置转发规则,假如:eth0为ubuntu连接外部网络的网卡,vboxnet0虚拟机选择Host-Only的虚拟网卡(virtualbox为vboxnet0)。

5.win7伪装环境

(1)安装基础的运行库,如java、python、.net等;

(2)安装2005-2015的vc运行库;

(3)安装MS-Office套件(office 2007/office 2010)、PDF阅读器等文档软件?(Adobe Reader);

(4)安装生活常用的聊天(QQ/微信)、听歌(QQ音乐/酷狗/酷我)软件。

6.安装agent.py

(1)将agent目录下的agent.py拷贝至win7文件系统,位置无严格要求;

(2)将agent.py修改成agent.pyw,并添加至开机启动项,agent.pyw为无界面模式;

(3)运行agent.pyw。

7.保存win7快照

(1)在agent.pyw运行的状态下,保存win7快照,记录win7的ip地址和快照名称;

(2)确认agent.pyw:在进程列表查看进程名为pythonw的进程。

 

五、样本分析

1.启动Cuckoo服务

$cuckoo

2.开启web服务

另开一个指令窗口运行
$cuckoo web runserver ?
打开浏览器,输入网址127.0.0.1:8000进入web操作界面。

网页服务器运行起来后界面如下:

图5

上传测试样本,操作如下图:

图6

跳转到样本分析设置界面,左侧是分析参数设置,可以默认或修改参数;中间是要测试的样本,需要选中;然后点击右侧“Analyze”按钮,开始分析。

图7

提交测试后,有pending、running、completed、reported等多种状态。运行完,会显示reported状态。

图8

点击样本,进入测试报告。红框1,显示可测试后样本的行为,有数字的部分表示样本有对应的行为;红框2,展示样本的基本信息;红框3,样本运行的基本信息;红框4,样本运行时的屏幕截图。

图9

左侧选择“Dropped Files”,显示如下图。右侧红框2,显示样本释放的文件。

图10

左侧选择“Process Memory”,显示如下图。右侧红框2,显示样本中所包含的URL链接。

图11

左侧选择“Behavioral Analysis”,显示如下图。红框2展示了具体的行为,可通过红框3中的搜索功能或红框4进行筛选。

图12

恶意样本一般包含创建文件和修改注册表的行为。先试着查找创建文件的行为。在搜索框输入“NtCreateFile”,搜索,如下图。图中有两个明显的可疑行为,红框1中对自身样本进行复制,红框2中,释放了一个beep.sys的驱动。

图13

尝试搜索修改注册表信息。在搜索框输入“RegSetValueExA”,搜索,如下图。红框中,可以看到服务的键值指向了刚才释放的exe程序路径。

图14

 

六、Cuckoo行为监控工作原理

Cuckoo sandbox在样本启动的时候,注入了相关的监控代码。
在process.py文件中,通过Process调用,调用inject-x86.exe或inject-x64.exe完成注入。

图15


图16

这两个工具是inject.c编译的针对32位和64位系统的不同版本。

下面看一下inject.c的具体代码:
在main中给出了可配置参数,需要带参数运行。Pid是必须要包含的参数,其他参数视需要进行配置。

图17

Inj_mode由以下三个参数决定,然后执行相应的函数。


图18

加载完参数完成准备工作,开始DLL注入。


图19

函数write_data,通过VirtualAllocEx和WriteProcessMemory在远程进程中申请空间的方式写入参数,并返回申请的地址。

图20

APC注入,通过write_data向远程进程中写入DLL路径、Loadlibrary()执行函数指针、执行加载函数的指针,然后利用QueueUserAPC()在软中断时向线程的APC队列插入Loadlibrary()执行函数指针,达到注入DLL的目的。当线程再次被唤醒时,此线程会首先执行APC队列中被注册的函数。


图21

注入成功。

另一种CRT注入:
同样通过write_data向远程进程中写入DLL路径、Loadlibrary()执行函数指针、执行加载函数的指针,之后在create_thread_and_wait中调用CreateRemoteThrea。当目标进程中执行load_library_woker(已事先写入进程空间)加载DLL,之后调用free_data清理现场,释放空间。


图22


图23

注入的DLL在加载时执行初始化和Hook动作。


图24

在monitor_init中


图25


图26


图27

在monitor_hook中,通过sig_hooks获取到需要hook的函数信息,调用hook函数进行hook。


图28

Hook完之后,样本调用系统函数时,会先跳到事先准备好的API中,记录好API的相关信息后,再正常调用原API,保证样本正常运行。

(完)