在本文中,我们分解了恶意软件调查的目标以及如何使用沙箱进行恶意软件分析。什么是恶意软件分析?恶意软件分析是研究恶意样本的过程。在研究过程中,研究人员的目标是了解恶意程序的类型、功能、代码和潜在危险。接收组织响应入侵所需的信息。获得的分析结果:恶意软件的工作原理:如果您调查程序代码及其算法,您将能够防止它感染整个系统。该程序的特点:通过使用有关恶意软件的数据(例如其系列、类型、版本等)改进检测。恶意软件的目标是什么:触发样本的执行以检查其目标数据,当然,在一个安全的环境。谁是攻击的幕后黑手:获取黑客的隐藏IP、来源、使用的TTP和其他足迹。关于如何防止此类攻击的计划。恶意软件分析的类型静态和动态恶意软件分析恶意软件分析的关键步骤在这五个步骤中,调查的主要重点是尽可能多地找出恶意软件的恶意样本、执行算法和恶意软件的行为。各种场景的工作方式。我们认为,分析恶意软件最有效的方法是结合使用静态和动态方法。这是有关如何进行恶意软件分析的简短指南。只需按照以下步骤操作:步骤1.设置虚拟机您可以根据特定要求自定义VM,例如浏览器、MicrosoftOffice、选择操作系统位数和区域设置。添加用于分析的工具并将它们安装在VM中:FakeNet、MITM代理、Tor、VPN。在沙箱中也可以轻松完成,以ANY.RUN为例:ANY.RUN中的VM自定义步骤2.查看静态属性这是静态恶意软件分析的阶段。在不运行的情况下检查可执行文件:检查字符串以了解恶意软件的作用。散列、字符串和标头的内容将提供恶意软件意图的概述。例如,在下面的屏幕截图中,我们可以看到Formbook示例的哈希、PE标头、mime类型和其他信息。有关功能的概述,我们可以查看恶意软件分析示例中的导入部分,其中列出了所有导入的DLL。PE文件的静态发现步骤3.监控恶意软件行为这是恶意软件分析的动态方法。在安全的虚拟环境中上传恶意软件样本。直接与恶意软件交互以使程序采取行动并观察其执行。检查网络流量、文件修改和注册表更改。以及任何其他可疑事件。在我们的在线沙箱示例中,我们可能会查看网络流内部以接收来自C2的骗子凭据信息和从受感染计算机窃取的信息。攻击者的凭据查看被盗数据第4步.反汇编代码如果威胁行为者混淆或打包代码,请使用反混淆技术和逆向工程来揭示代码。识别之前步骤中未公开的功能。即使只是寻找恶意软件使用的功能也可以说明其功能。例如,函数“InternetOpenUrlA”表示恶意软件将与外部服务器建立连接。此阶段需要调试器和反汇编器等其他工具。第5步。编写恶意软件报告。包括找到的所有发现和数据。提供以下信息:恶意程序名称、来源和主要功能的研究摘要。有关恶意软件类型、文件名、大小、哈希和防病毒检测功能的一般信息。恶意行为描述、感染算法、传播技术、数据收集和С2通信方式。必要的操作系统位、软件、可执行文件和初始化文件、DLL、IP地址和脚本。查看行为活动,例如从何处窃取凭据,是否修改、删除或安装文件,读取值和检查语言。代码分析结果,标题数据。屏幕截图、日志、字符串行、摘录等。交互式恶意软件分析现代防病毒软件和防火墙无法应对未知威胁,例如针对性攻击、零日攻击、高级恶意软件和未知签名危害。所有这些挑战都可以通过交互式沙箱来解决。交互性是我们服务的主要优势。使用ANY.RUN,可以像在个人计算机上打开一样直接处理可疑样本:单击、运行、打印、重启。可以处理延迟的恶意软件执行,并可以制定不同的方案以取得有效的结果。在调查期间,您可以:获得交互式访问:像在个人计算机上一样使用VM:使用鼠标、输入数据、重新启动系统和打开文件。更改设置:预装软件套装,多种不同位和版本的操作系统已准备就绪。为您的虚拟机选择一个工具:FakeNet、MITM代理、Tor、OpenVPN。研究网络连接:拦截数据包并获取IP地址列表。即时访问分析:VM立即启动分析过程。监控系统进程:实时观察恶意软件行为。收集IOCs:IP地址、域名、哈希等都可以。获取MITREATT@CK矩阵:详见TTP。有一个流程图:评估一张图中的所有流程。下载现成的恶意软件报告:以方便的格式打印所有数据。所有这些功能都有助于揭示复杂的恶意软件并提供对攻击结构的实时可见性。尝试使用交互式方法破解恶意软件。借助Sandbox,您可以进行恶意软件分析并享受快速的结果、简单的研究过程,甚至可以调查复杂的恶意软件并获得详细的报告。按照步骤操作,使用智能工具并成功捕获恶意软件。
