文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

分析恶意软件时可能遇到的三个常见问题

2024-11-30 03:08

关注

解密HTTPS流量

超文本安全传输协议(HTTPS)原本是一种确保安全在线通信的协议,如今却已经成为了恶意软件隐藏其恶意活动的一种工具。通过伪装受感染设备与指挥和控制(C&C)服务器之间的数据交换,恶意软件就可以在不被发觉的情况下运行,往外泄露敏感数据,安装额外的攻击载荷,并接收来自攻击者团伙的指令。

然而,如果有合适的工具,解密HTTPS流量就轻而易举。为此,我们可以使用中间人(MITM)代理,MITM代理充当了客户机与服务器之间的中介,可以拦截两者之间传输的信息。

MITM代理帮助分析人员实时监控恶意软件的网络流量,以便他们清楚地了解恶意活动。除此之外,分析人员还可以访问请求和响应数据包的内容、IP以及URL,以查看恶意软件通信的详细信息,并识别窃取的数据,这种工具对于提取恶意软件使用的SSL密钥特别有用。

图1. ANY.RUN沙箱提供的有关AxileStealer的信息

在这个例子中,初始文件(大小为237.06 KB)投放AxilStealer的可执行文件(大小为129.54 KB)。作为一种典型的信息窃取器,它获得了访问存储在网络浏览器中的密码的权限,开始通过Telegram消息传递连接将密码传输给攻击者。

规则“STEALER [ANY.RUN] Attempt to exfiltrate via Telegram”(STEALER [ANY.RUN]企图通过Telegram往外泄露)表明了恶意活动。由于MITM代理功能,恶意软件的流量已被解密,揭露了这个事件的更多细节。

发现恶意软件家族

识别恶意软件家族是任何网络调查工作的一个关键部分。Yara规则和Suricata规则是用于这项任务的两种常用工具,但在处理服务器不再活跃的恶意软件样本时,它们的有效性却可能受到限制。

FakeNET为此提供了一个解决方案,即创建一条虚假的服务器连接来响应恶意软件请求,诱骗恶意软件发送请求可以触发Suricata规则或YARA规则,该规则可以准确识别恶意软件家族。

图2. ANY.RUN沙箱检测到的非活跃服务器

在分析该样本时,沙箱指出了恶意软件的服务器没有响应这个事实。

图3. 使用FakeNET识别出来的Smoke Loader恶意软件

然而,在启用FakeNET功能后,该恶意软件立即向虚假的服务器发送请求,触发识别出它是Smoke Loader的网络规则。

捕捉针对特定地区的隐蔽性恶意软件

许多攻击和网络钓鱼活动将目光重点投向特定的地区或国家。随后,它们结合IP地理位置、语言检测或网站屏蔽等机制,这些机制可能会限制分析人员检测它们的能力。

除了针对特定地区外,恶意软件团伙还可能利用一些技术来逃避沙箱环境中的分析活动。一种常见的方法是验证系统是否正在使用数据中心IP地址。一旦予以证实,恶意软件就停止执行。

为了克服这些障碍,分析人员使用了住宅代理。这种出色工具的工作原理是,将分析人员的设备或虚拟机的IP地址换成来自世界不同地区的普通用户的住宅IP。

这项功能使专业人员能够通过模仿本地用户来绕过地理限制,并在不暴露其沙箱环境的情况下研究恶意活动。

图4. 使用FakeNET识别出来的Smoke Loader恶意软件

这里,一旦主机IP地址被上传到了沙箱,Xworm就立即核查该IP地址。然而,由于虚拟机有一个住宅代理,恶意软件继续执行,并连接到其指挥和控制服务器。


来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯