惡意軟件分析工具 Cuckoo 和 Malwasm

分析惡意軟件(malicious ware)有不少方法。請容我蚍蜉撼樹推薦兩個開放源代碼的免費系統 Cuckoo 和 MalWasm 。這是一個虛擬化環境下的惡意軟件分析系統。

基於虛擬化進行程序分析有不少優勢：

• 整機內存能夠dump出來，而且能夠隨時作snapshot；
• 多數網絡通信能夠分析；
• 不管殺毒軟件如何吹噓它們的啓發式分析引擎，可是xss的故事已經證實區區XOR加密就能夠將他們所有bypass。可是行爲分析鎖定的是行爲不是嗎？
• 綜上，對瀏覽器的攻擊能夠經過分析文件行爲進行。攻擊瀏覽器不是什麼新鮮事了，可是瀏覽器和遊戲程序差很少龐大、多種運行機制（JS和flash、各類網銀的activeX都有本身的Rendor），直接使用鍵盤調試恐怕是要按到手抽筋!
• 效率和人性化，真的是很贊！

言歸正傳，繼續看本文的主角Cuckoo和MalMAsm吧！

Cuckoo 的全稱是OpenSource Cuckoo Sandbox Project。它由我所尊敬的一些安全先驅開發，其中一些人也是開源honeyspot 的contributor。實際上在2010年的時候Cuckoo仍是honeyNET的一個子項目。這些前輩獨到的蜜罐網絡研發的技巧，讓Cuckoo能夠垂手可得的進行URL分析、網絡通信分析、程序分析、pdf分析。

總體上，Cuckoo基於虛擬機技術，使用中央控制系統和模塊設計，結合python的自動化特徵，已是頗爲自動化的惡意軟件行爲研究環境。

出於研發歷史的考量，我的推薦使用debian或ubuntu主機安裝virtualbox看成Cuckoo Host，WinXP作guest。實際上Cuckoo也支持Macox和KVM 等其餘環境，也支持Windows7作guest—不過調試環境仍是穩定優先吧？

若是隻是純粹爲程序的抽象行爲作分析，則也有傻瓜的平方級別的工具MalWAsm。按照官方的document進行安裝以後，

• 在CuckooSandbox環境直接運行可疑的東西；
• MalMasm會利用pintool將程序行爲所有log；
• MalMasm將全部行爲存儲在PostGres數據庫；
• MalMAsm 有web front，研究員能夠直接在網頁裏查看程序行爲；

要說您不懂彙編也想分析分析軟件、網頁什麼的，這2款開源環境應該夠您用了。

若是說您是資深分析人士，利用這些環境應該能夠大大提高分析效率。哪怕是程序進行了加密，行爲級別的記錄也頗有幫助吧！

不過有3點提醒：

1. virtualization 是guest awareness 的。若是惡意軟件的做者有足夠的反調試經驗，則在虛擬機上運行程序的時候，它的行爲會與在物理機上運行的行爲將不同。雖說足夠聰明的您也有足夠的手段讓程序不awared，可是程序做弊的可能仍是須要考慮。
2. 加密的tcp通信幾乎不可能直接分析。在進行進一步研究以前，仍是看看程序行爲再找調試點比較好。例如我發在qq空間的帖子說過，https是http+ssl，截獲ssl封裝以前的http通信就基本夠專業了—具體方法能夠網上搜索。固然遇見利用SOAP的人渣還要再比他們還要人渣一點才能分析—話說惡意軟件通常會寫那麼龐大嗎（我可不識數）？
3. 幹這行的人渣比較多，關係比較硬的也很打不死的也存在哦。不是說你發現什麼問題就能夠公開的是否是？人家是老虎你還不如蒼蠅的可能性絕對存在是否是？低調比較必要是否是？

我聽見哪位讀着說「再傻瓜一些的傻瓜三次方的分析環境」您也須要？哎呀，三次元的傻瓜是啥意思來的？

---

via idf.cn