恶意软件分析涵盖一系列活动,其中包括仔细检查恶意软件的网络流量。要想有效地做好这项工作,关键在于要了解常见的威胁以及如何克服这些威胁。下面将介绍企业可能遇到的三个常见问题以及解决它们所需要的工具。
解密HTTPS流量
超文本安全传输协议(HTTPS)原本是一种确保安全在线通信的协议,如今却已经成为了恶意软件隐藏其恶意活动的一种工具。通过伪装受感染设备与指挥和控制(C&C)服务器之间的数据交换,恶意软件就可以在不被发觉的情况下运行,往外泄露敏感数据,安装额外的攻击载荷,并接收来自攻击者团伙的指令。
然而,如果有合适的工具,解密HTTPS流量就轻而易举。为此,我们可以使用中间人(MITM)代理,MITM代理充当了客户机与服务器之间的中介,可以拦截两者之间传输的信息。
MITM代理帮助分析人员实时监控恶意软件的网络流量,以便他们清楚地了解恶意活动。除此之外,分析人员还可以访问请求和响应数据包的内容、IP以及URL,以查看恶意软件通信的详细信息,并识别窃取的数据,这种工具对于提取恶意软件使用的SSL密钥特别有用。
图1. ANY.RUN沙箱提供的有关AxileStealer的信息
在这个例子中,初始文件(大小为237.06 KB)投放AxilStealer的可执行文件(大小为129.54 KB)。作为一种典型的信息窃取器,它获得了访问存储在网络浏览器中的密码的权限,开始通过Telegram消息传递连接将密码传输给攻击者。
规则“STEALER [ANY.RUN] Attempt to exfiltrate via Telegram”(STEALER [ANY.RUN]企图通过Telegram往外泄露)表明了恶意活动。由于MITM代理功能,恶意软件的流量已被解密,揭露了这个事件的更多细节。
发现恶意软件家族
识别恶意软件家族是任何网络调查工作的一个关键部分。Yara规则和Suricata规则是用于这项任务的两种常用工具,但在处理服务器不再活跃的恶意软件样本时,它们的有效性却可能受到限制。
FakeNET为此提供了一个解决方案,即创建一条虚假的服务器连接来响应恶意软件请求,诱骗恶意软件发送请求可以触发Suricata规则或YARA规则,该规则可以准确识别恶意软件家族。
图2. ANY.RUN沙箱检测到的非活跃服务器
在分析该样本时,沙箱指出了恶意软件的服务器没有响应这个事实。
图3. 使用FakeNET识别出来的Smoke Loader恶意软件
然而,在启用FakeNET功能后,该恶意软件立即向虚假的服务器发送请求,触发识别出它是Smoke Loader的网络规则。
捕捉针对特定地区的隐蔽性恶意软件
许多攻击和网络钓鱼活动将目光重点投向特定的地区或国家。随后,它们结合IP地理位置、语言检测或网站屏蔽等机制,这些机制可能会限制分析人员检测它们的能力。
除了针对特定地区外,恶意软件团伙还可能利用一些技术来逃避沙箱环境中的分析活动。一种常见的方法是验证系统是否正在使用数据中心IP地址。一旦予以证实,恶意软件就停止执行。
为了克服这些障碍,分析人员使用了住宅代理。这种出色工具的工作原理是,将分析人员的设备或虚拟机的IP地址换成来自世界不同地区的普通用户的住宅IP。
这项功能使专业人员能够通过模仿本地用户来绕过地理限制,并在不暴露其沙箱环境的情况下研究恶意活动。
图4. 使用FakeNET识别出来的Smoke Loader恶意软件
在这里,一旦主机IP地址被上传到了沙箱,Xworm就立即核查该IP地址。然而,由于虚拟机有一个住宅代理,恶意软件继续执行,并连接到其指挥和控制服务器。
