最近真的太忙了,天天打仗一样,感谢大家的支持和关注,稍微松口气分享几篇博客,继续加油!该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起奋斗~
前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱的安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
文章目录:
一.恶意软件分析
*二.Cuckoo和Cape沙箱简介*
1.Cuckoo沙箱简介
2.Cape沙箱简介
3.Cape原理
**三.Cape沙箱识别单样本特征****
*四.Cape沙箱批量分析恶意软件*
1.Python脚本批量分析样本
2.运行结果
3.Submit an Analysis
4.Python Functions
*五.**总结***
作者的github资源:
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔!
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。(参考文献见后)
一.恶意软件分析恶意软件或恶意代码分析通常包括静态分析和动态分析。特征种类如果按照恶意代码是否在用户环境或仿真环境中运行,可以划分为静态特征和动态特征。
那么,如何提取恶意软件的静态特征或动态特征呢? 因此,第一部分将简要介绍静态特征和动态特征。
1.静态特征没有真实运行的特征,通常包括:
字节码
二进制代码转换成了字节码,比较原始的一种特征,没有进行任何处理
IAT表
PE结构中比较重要的部分,声明了一些函数及所在位置,便于程序执行时导入,表和功能比较相关
Android权限表
如果你的APP声明了一些功能用不到的权限,可能存在恶意目的,如手机信息
可打印字符
将二进制代码转换为ASCII码,进行相关统计
IDA反汇编跳转块
IDA工具调试时的跳转块,对其进行处理作为序列数据或图数据
常用API函数
恶意软件图像化
静态特征提取方式:
2.动态特征相当于静态特征更耗时,它要真正去执行代码。通常包括: – API调用关系:比较明显的特征,调用了哪些API,表述对应的功能 – 控制流图:软件工程中比较常用,机器学习将其表示成向量,从而进行分类 – 数据流图:软件工程中比较常用,机器学习将其表示成向量,从而进行分类
动态特征提取方式:
二.Cuckoo和Cape沙箱简介1.Cuckoo沙箱简介Cuckoo Sandbox 是一个开源的自动恶意软件分析系统,并且是经典的沙箱分析工具。Cuckoo沙箱将在几秒钟内为您提供一些详细的分析结果,概述该文件在隔离环境中执行时的情况。不像在线VirusTotal、VirusShare、微步、AnyRun、Hybrid等在线沙箱,Cuckoo可以实现本地安装和离地分析,其定制化和可控程度更高。
Cuckoo Sandbox始于2010年蜜网计划中的谷歌Summer of Code项目,它最初是由Claudio“nex”Guarnieri设计和开发的。在2010年夏天开启该工作之后,第一个测试版于2011年2月5日发布,这是Cuckoo第一次公开发布。2011年3月,在谷歌Code Summer of 2011期间,Cuckoo再次被选为蜜网项目的支持项目,在此期间Dario Fernandes加入了该项目并扩展了其功能。
Cuckoo Sandbox started as a Google Summer of Code project in 2010 within The Honeynet Project. It was originally designed and developed by Claudio “nex” Guarnieri, who is still the main developer and coordinates all efforts from joined developers and contributors.
2.Cape沙箱简介CAPE Sandbox 是一款用于自动分析可疑文件或恶意软件的开源系统,它使用自定义组件来监视在隔离环境中运行的恶意进程的行为。CAPE来源于Cuckoo Sandbox,目的是添加自动恶意软件解包和配置提取——因此它的名字是一个缩写“配置和有效载荷提取(Config And Payload Extraction)”。自动解包允许基于Yara签名的分类,以补充网络(Suricata)和行为(API)签名。于2016年诞生。
CAPE Sandbox is an Open Source software for automating analysis of suspicious files. To do so it makes use of custom components that monitor the behavior of the malicious processes while running in an isolated environment.
CAPE被用来自动运行和分析文件,并收集全面的分析结果,概述恶意软件在孤立的Windows操作系统中运行时的行为。它可以检测以下类型的结果:
由于CAPE的模块化设计,它既可以作为独立的应用程序使用,也可以集成到更大的框架中。它可以用来分析:
Generic Windows executables
DLL files
PDF documents
Microsoft Office documents
URLs and HTML files
PHP scripts
CPL files
Visual Basic (VB) scripts
ZIP files
Java JAR
Python files
Almost anything else
虽然CAPE沙箱的配置和有效载荷提取是最初声明的目标,但CAPE调试器的首要目标是:为了从任意恶意软件家族中提取配置文件或解压缩有效负载,而不依赖进程转储(迟早会被坏人破坏),指令级别的监视和控制是必要的。CAPE中的新调试器遵循最大化使用处理器硬件和最小化使用Windows调试接口的原则,允许通过Yara签名或API调用在引爆期间以编程方式设置硬件断点,从入口点偷偷地检测和操纵恶意软件。这允许捕获指令跟踪,或执行操作,如控制流操作或转储内存区域。
调试器允许CAPE在其原始功能之外继续发展,这些功能现在包括了动态反规避绕过。由于现代恶意软件通常试图在沙箱中逃避分析,例如通过使用定时陷阱来进行虚拟化或API钩子检测,CAPE允许开发动态对策,结合调试器在Yara签名中的动作,来检测隐藏的恶意软件,并执行控制流程操作,迫使样品完全引爆或跳过规避动作。CAPE的动态旁路越来越多,其中包括:
Guloader
Ursnif
Dridex
Zloader
Formbook
BuerLoader
Pafish
CAPE利用了许多恶意软件技术或行为,允许未打包的有效载荷捕获,这些行为将导致捕获注入、提取或解压缩的有效载荷,以便进一步分析。此外,CAPE自动为每个进程创建一个进程转储,或者在DLL的情况下,为内存中的DLL模块映像创建一个进程转储。
推荐读者学习官方文档:
3.Cape原理CAPE Sandbox由处理样本执行和分析的中央管理软件组成。每个分析都在一个全新的、孤立的虚拟机中启动。CAPE的基础结构由一台主机(管理软件)和一些Guest机器(用于分析的虚拟机)组成。主机Host运行管理整个分析过程的沙盒核心组件,而Guest是安全执行和分析恶意软件样本的隔离环境。
CAPE的主要架构如下图所示:
三.Cape沙箱识别单样本特征1.启动沙箱关键步骤第一步,安装VMware虚拟机并载入Cape环境镜像。
第二步,按照四个关键步骤启动Cape沙箱。
(1)在任意文件夹中运行"sudo virtualbox",现在已经安装了一个Win7 X64专业版虚拟机。
(2)进入/opt/CAPEv2/文件夹,运行"sudo python3 cuckoo.py"。
(3) 在/opt/CAPEv2/文件夹下运行"sudo python3 utils/process.py -p7 auto",参数代表优先级划分,输入多个样本时,沙箱会优先运行高优先级样本。
(4)在/opt/CAPEv2/web目录下(由于环境依赖的问题,必须由指向该文件夹的shell运行该命令),运行"sudo python3 manage.py runserver 127.0.0.1:8088"(该虚拟机的8080端口已被占用,端口可自己指定)。
2.样本分析在虚拟机的火狐中打开127.0.0.1:8088,在submit页面提交样本即可。
再次强调在恶意软件分析中,一定要做好本机保护,包括在虚拟机隔离环境中进行分析,甚至需要断网防止沙箱逃逸。同时,本人坚决反对渗透和破坏行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护。这里仅是分享恶意软件分析背后的原理,更好地进行防护。
运行结如下图所示:
点击控制面板的“Recent”查看分析结果。由图可知,本文分析的结果已产生,同时有之前提交的两个样本。
对应的分析结果如下图所示:
此时会遇到一个问题:在做恶意软件分析过程中,通常会遇到大量的恶意软件。如果手动添加其过程极其繁琐并且耗时,如何解决该问题呢?
四.Cape沙箱批量分析恶意软件在Cape沙箱中,已经集成对应的批量分析的Python脚本,通过调用脚本来指定要分析的恶意软件既可以实现批量分析。具体分析过程如下:
1.Python脚本批量分析样本该方法通过提供的submit.py命令实现,该文件位置为:
submit.py 该文件的代码如下所示,读者也可以调用cuckoo在线沙箱完成相关分析,但批量受限,定制化功能较差。
#!/usr/bin/env python# Copyright (C) 2010-2015 Cuckoo Foundation.# This file is part of Cuckoo Sandbox -
http://www.cuckoosandbox.org# See the file 'docs/LICENSE' for copying permission.
from __future__ import absolute_importfrom __future__ import print_functionimport argparseimport fnmatchimport loggingimport osimport randomimport sys
try: import requests
HAVE_REQUESTS = Trueexcept ImportError: HAVE_REQUESTS = False
sys.path.append(os.path.join(os.path.abspath(os.path.dirname(__file__)), ".."))
from lib.cuckoo.common.colors import bold, green, red, yellowfrom lib.cuckoo.common.objects import Filefrom lib.cuckoo.common.utils import to_unicodefrom lib.cuckoo.core.database import Databasefrom lib.cuckoo.common.config import Configfrom lib.cuckoo.common.exceptions import CuckooDemuxError
def main(): parser = argparse.ArgumentParser() parser.add_argument("target", help="URL, path to the file or folder to analyze") parser.add_argument("-d", "--debug", action="store_true", help="Enable debug logging") parser.add_argument( "--remote", type=str, action="store", default=None, help="Specify IP:port to a Cuckoo API server to submit remotely", required=False ) parser.add_argument("--user", type=str, action="store", default=None, help="Username for Basic Auth", required=False) parser.add_argument("--password", type=str, action="store", default=None, help="Password for Basic Auth", required=False) parser.add_argument("--sslnoverify", action="store_true", default=False, help="Do not validate SSL cert", required=False) parser.add_argument("--ssl", action="store_true", default=False, help="Use SSL/TLS for remote", required=False) parser.add_argument("--url", action="store_true", default=False, help="Specify whether the target is an URL", required=False) parser.add_argument("--package", type=str, action="store", default="", help="Specify an analysis package", required=False) parser.add_argument("--custom", type=str, action="store", default="", help="Specify any custom value", required=False) parser.add_argument("--timeout", type=int, action="store", default=0, help="Specify an analysis timeout", required=False) parser.add_argument( "--options", type=str, action="store", default="", help='Specify options for the analysis package (e.g. "name=value,name2=value2")', required=False, ) parser.add_argument( "--priority", type=int, action="store", default=1, help="Specify a priority for the analysis represented by an integer", required=False ) parser.add_argument( "--machine", type=str, action="store", default="", help="Specify the identifier of a machine you want to use", required=False ) ...
if __name__ == "__main__": main()
当前Cape沙箱已存在三个恶意软件分析结果,是通过本地网页地址提交分析的(单个提交),其结果的序号分别为1、2、3,对应如下图所示。
假设需要对下图所示的四个恶意样本进行批量分析。
下面是调用submit.py脚本的关键命令,去到指定目录并执行submit.py文件,包括两个关键参数:
恶意软件目录:/home/cape/sample
每个样本分析时间:10秒
cd /opt/CAPEv2/utilspython3 submit.py /home/cape/sample/ --timeout 10
输出结果如下所示,可以看到四个恶意软件分别被Cape沙箱分析,其任务执行序号分别为4-7。
cape@cape-virtual-machine:~$ cd /opt/CAPEv2/utilscape@cape-virtual-machine:/opt/CAPEv2/utils$ lsadmin.py linux_mktaps.sh smtp_sinkhole.shapi.py listdump.py stats.pycleaners.py machine.py submit.pycommunity.py procesing_statistics.py tcpdumpwrapper.pycuckoomx.py process.py test_suricata_signature.pydb_migration __pycache__ tridupdate.pydist.py rooter.py vpn2cape.pydumps route.py vpncheck.pyemail_test.py sample_path.py yara_test.py__init__.py smtp_sinkhole.pycape@cape-virtual-machine:/opt/CAPEv2/utils$ python3 submit.py /home/cape/sample/ --timeout 10Success: File "/home/cape/sample/112f9fxxxx190e620.exe" added as task with ID 4Success: File "/home/cape/sample/78d71fxxxxcd9c04a.exe" added as task with ID 5Success: File "/home/cape/sample/hgz" added as task with ID 6Success: File "/home/cape/sample/wannacry" added as task with ID 7cape@cape-virtual-machine:/opt/CAPEv2/utils$
接着,Cape沙箱开始执行来分析样本。
对应输出四个文件夹,即为分析的结果。
分析结果会存储在本地reports文件夹中。
对应四个report报告。
report.html文件如下图所示:
2.运行结果当分析完成,几个文件就存储在一个专用目录中。所有的分析都存储在storage/analyses/目录下,该目录位于一个子目录下,该子目录以增量数字ID命名,该数字ID表示数据库中的分析任务。
.|-- analysis.conf|-- analysis.log|-- binary|-- dump.pcap|-- memory.dmp|-- files| |-- 1234567890| `-- dropped.exe|-- logs| |-- 1232.raw| |-- 1540.raw| `-- 1118.raw|-- reports| |-- report.html| |-- report.json| |-- report.maec-4.0.1.xml| `-- report.metadata.xml`-- shots |-- 0001.jpg |-- 0002.jpg |-- 0003.jpg `-- 0004.jpg
下面是一个分析目录结构的例子:
该部分简单展示分析的结果,下图为恶意软件分析的文件信息。
Signatures信息如下所示:
Dropped Files信息如下:
恶意软件包含的文件信息如下:
提取的API信息如下图所示:
report.pdf
report.pdf包含静态分析的API信息以及动态行为API信息,如下图所示:
动态行为特征具有时间先后顺序,可以进一步供大家做恶意软件分析。
{ "timestamp": "2023-03-26 13:40:51,897", "thread_id": "2180", "caller": "0x004cd32d", "parentcaller": "0x004e5bb9", "category": "registry", "api": "RegOpenKeyExW", "status": false, "return": "0x00000002", "arguments": [ { "name": "Registry", "value": "0x80000002", "pretty_value": "HKEY_LOCAL_MACHINE" }, { "name": "SubKey", "value": "SYSTEM\\CurrentControlSet\\Control\\MediaResources\\msvideo" }, { "name": "Handle", "value": "0x00000000" }, { "name": "FullName", "value": "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\MediaResources\\msvideo" } ], "repeated": 0, "id": 303},
3.Submit an Analysis最后补充官方网站对批量分析的submit.py描述。
其运行参数如下:
usage: submit.py [-h] [--remote REMOTE] [--url] [--package PACKAGE] [--custom CUSTOM] [--timeout TIMEOUT] [--options OPTIONS] [--priority PRIORITY] [--machine MACHINE] [--platform PLATFORM] [--memory] [--enforce-timeout] [--clock CLOCK] [--tags TAGS] [--max MAX] [--pattern PATTERN] [--shuffle] [--unique] [--quiet] target
positional arguments: target URL, path to the file or folder to analyze
optional arguments: -h, --help show this help message and exit --remote REMOTE Specify IP:port to a CAPE API server to submit remotely --url Specify whether the target is an URL --package PACKAGE Specify an analysis package --custom CUSTOM Specify any custom value --timeout TIMEOUT Specify an analysis timeout --options OPTIONS Specify options for the analysis package (e.g. "name=value,name2=value2") --priority PRIORITY Specify a priority for the analysis represented by an integer --machine MACHINE Specify the identifier of a machine you want to use --platform PLATFORM Specify the operating system platform you want to use (windows/darwin/linux) --memory Enable to take a memory dump of the analysis machine --enforce-timeout Enable to force the analysis to run for the full timeout period --clock CLOCK Set virtual machine clock --tags TAGS Specify tags identifier of a machine you want to use --max MAX Maximum samples to add in a row --pattern PATTERN Pattern of files to submit --shuffle Shuffle samples before submitting them --unique Only submit new samples, ignore duplicates --quiet Only print text on failure
如果指定一个目录作为目标路径,则该目录中包含的所有文件将被提交以供分析。
常见的命令提交方式
(1) Submit a local binary
$ ./utils/submit.py /path/to/binary
(2) Submit an URL
$ ./utils/submit.py --url
http://www.example.com(3) Submit a local binary and specify a higher priority
$ ./utils/submit.py --priority 5 /path/to/binary
(4) Submit a local binary and specify a custom analysis timeout of 60 seconds
$ ./utils/submit.py --timeout 60 /path/to/binary
(5) Submit a local binary and specify a custom analysis package
$ ./utils/submit.py --package <name of package> /path/to/binary
(6) Submit a local binary and specify a custom analysis package and some options (in this case a command line argument for the malware)
$ ./utils/submit.py --package exe --options arguments=--dosomething /path/to/binary.exe
(7) Submit a local binary to be run on the virtual machine cape1
$ ./utils/submit.py --machine cape1 /path/to/binary
(8) Submit a local binary to be run on a Windows machine
$ ./utils/submit.py --platform windows /path/to/binary
(9) Submit a local binary and take a full memory dump of the analysis machine once the analysis is complete
$ ./utils/submit.py --memory /path/to/binary
(10) Submit a local binary and force the analysis to be executed for the full timeout (disregarding the internal mechanism that CAPE uses to decide when to terminate the analysis)
$ ./utils/submit.py --enforce-timeout /path/to/binary
(11) Submit a local binary and set the virtual machine clock. The format is %m-%d-%Y %H:%M:%S. If not specified, the current time is used. For example, if we want to run a sample on January 24th, 2001, at 14:41:20:
$ ./utils/submit.py --clock "01-24-2001 14:41:20" /path/to/binary
(12) Submit a sample for Volatility analysis (to reduce side effects of the CAPE hooking, switch it off with options free=True):
$ ./utils/submit.py --memory --options free=True /path/to/binary
其它参数如下图所示:
4.Python Functions为跟踪提交、示例和总体执行情况,CAPE使用了一种流行的Python ORM,称为SQLAlchemy,它允许您使用PostgreSQL、SQLite、MySQL和其他几个SQL数据库系统来制作沙盒。
CAPE被设计为易于集成到更大的解决方案中并完全自动化。为自动化分析提交,我们建议使用REST API中描述的REST API接口,但如果您想编写Python提交脚本,您也可以使用add_path()和add_url()函数。
示例如下:
>>> from lib.cuckoo.core.database import Database>>> db = Database()>>> db.add_path("/tmp/malware.exe")1>>>
示例如下:
>>> from lib.cuckoo.core.database import Database>>> db = Database()>>> db.add_url("http://www.cuckoosandbox.org")2>>>
五.总结写到这里这篇文章就结束,希望对您有所帮助。忙碌的三月,真的很忙,项目本子论文毕业,等忙完后好好写几篇安全博客,感谢支持和陪伴,尤其是家人的鼓励和支持, 继续加油!
2023年3月20日,终于完成初稿,凌晨迫不及待来写一篇博客,纪念下,感恩下!娜璋白首。
一.恶意软件分析1.静态特征2.动态特征
二.Cuckoo和Cape沙箱简介1.Cuckoo沙箱简介2.Cape沙箱简介3.Cape原理
三.Cape沙箱识别单样本特征1.启动沙箱关键步骤2.样本分析
四.Cape沙箱批量分析恶意软件1.Python脚本批量分析样本2.运行结果3.Submit an Analysis4.Python Functions
五.总结
提问:
在真实样本中,恶意软件会被加壳和混淆处理,常用脱壳工具为Unipack。那么,大家可以思考下,CAPA提取的API特征都是恶意软件中均执行的吗?同时,这些关键特征是否都被提取呢?
请大家思考静态特征和动态特征各自的优缺点。
CAPE沙箱如何实现批量提取,同时如何定制化规则呢?
CAPE沙箱如何捕获的API特征,通过HOOK机制吗?还有哪些可以优化的地方呢?
CAPE沙箱究竟能检测逃逸性、高隐蔽的恶意软件吗?尤其APT攻击的样本。
如何撰写代码提取Json中所需特征,比如常见的API。
CAPA是经典的静态特征提取工具,那么如何提取动态特征呢?动态特征在恶意软件检测中又扮演什么角色?
个人感觉静态分析和动态分析是很多年都在研究的内容,目前会与深度学习结合。那么,未来的方法将如何创新呢?怎么更好地自动化识别恶意软件行为,并且批量识别且更少依赖专家知识。
三月应该是今年最忙碌的一个月了,好多事情。希望一切顺利,更希望四月后能沉下心来读论文和写论文,继续加油,只争朝夕。
感谢大家的支持和关注。继续加油!感恩,娜璋白首。
娜璋AI安全之家
CSDN博客专家,武大在读博士,北理硕士本科。专注于Python和安全技术,主要分享Web渗透、系统安全、AI、大数据分析、恶意代码检测、CVE复现等文章。真心想把自己近十年所学所感分享出来,与您一起进步。娜美人生,醉美人生,感谢您的关注。
220篇原创内容
公众号
(By:Eastmount 2023-03-26 夜于火星)
参考文章如下,感谢这些大佬。
发表于 2023-4-2 17:31:00
