對程序實施精準手術!阿里安全獵戶座實驗室首創“自動逆向機器人”

近日舉辦的看雪安全開發者峯會上,阿里安全獵戶座實驗室首度向外界展示了最新的研究成果——“自動逆向機器人”。該機器人可以像醫生一樣“望聞問切”,對程序進行顯微鏡級別的勘察,並完整“回放”其運作過程,因此,可以偵測出程序中的漏洞或隱蔽行爲。據悉,該機器人被命名爲TimePlayer。

阿里安全獵戶座實驗室負責人杭特認爲,逆向能力是安全從業人員必須具備的基本功。杭特打了一個形象的比方,他介紹說,“逆向”就如同醫生看病一樣,通過望聞問切、各種化驗,甚至是CT核磁共振,這些手段都是爲了一個目的,弄清楚病因。對程序進行逆向,就是爲了弄清楚程序究竟在做什麼。

杭特指出,在當前的安全行業,逆向工作基本都是不斷重複的、純體力的。而阿里安全獵戶座實驗室TimePlayer的最大價值就是可以將安全從業人員逆向工作的大部分能力完全自動化。

阿里安全獵戶座實驗室研究人員弗爲在看雪論壇上的演講中稱,TimePlayer集“攝像機”、“播放機”和下“顯微鏡”三大功能於一身。如果要分析一個程序,只需在TimePlayer中運行一次就可以,它會把該程序所有的行爲全部忠實地記錄下來,而且不會遺漏任何細節。不僅如此,TimePlayer還可以將“拍攝”的內容進行向前放、向後放、快放、慢放,能夠放大任意處的細節並且追蹤任意的目標。最重要的是,TimePlayer對於程序行爲的勘察粒度達到了指令級別。

對程序實施精準手術!阿里安全獵戶座實驗室首創“自動逆向機器人”
阿里安全獵戶座實驗室研究人員弗爲展示“自動逆向機器人”TimePlayer"

“TimePlayer正如其名一樣,攝像和播放的結果一模一樣,要做到這點是非常有挑戰性的。”阿里安全獵戶座實驗室研究人員弗爲表示,“現在隨便一個APP都有幾十億條指令,如果要逆向這些APP,TimePlayer一條指令都不會遺漏。”

弗爲在演講中,以臭名昭著的WannaCry勒索病毒爲例,現場演示瞭如何通過TimePlayer在系統內核中精確定位,找回RSA私鑰。據弗爲介紹,由於WannaCry勒索病毒刻意地刪除了本機的“私鑰”,因此,理論上只能掏錢向勒索者獲取,這曾經使得諸多安全廠商束手無策,但阿里安全獵戶座實驗室的研究人員通過TimePlayer獨家發現,“私鑰”實際上在用戶態和內核態均有殘留,且相較於暴力搜索用戶態內存方法,精準的內核態殘留提取更爲穩定。

另外,弗爲還演示瞭如何通過TimePlayer逆向超級複雜的文件格式。弗爲在演講中表示,即便是逆向DOC這類超級複雜的文件格式,也是輕而易舉——只需要把DOC文檔放到TimePlayer中打開,就能自動化地對文件進行分析。以前要好幾個人耗費數年時間的分析工作,TimePlayer幾天時間就可以搞定,而且無需人員參與。

衆所周知,***是個對抗的過程。爲了對抗人工逆向,防護人員開發了各種各樣的工具和產品提升逆向難度,其中最有名的叫做“虛擬機殼”。弗爲在演講中也演示了輕鬆突破這種“迷魂陣”的方法,那就是用TimePlayer。

阿里安全獵戶座實驗室負責人杭特指出,在全球範圍來看,TimePlayer的能力是領先的、獨一無二的。它出現可以說填補了安全行業的一大空白,同時也證明,二進制的黑盒性質,代碼混淆的障眼法,終有失效的一天 。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章