轉載安天。
病毒樣本分析工作流程
此工作流程就是根據單樣本價值需求,分析方向編寫,亦算是對病毒分析工作流程簡單理論上的總結。
樣本分析主要目標有5方向
1.特徵提取
2.樣本基本信息
3.樣本行爲分析
4.網絡通信行爲分析
5.樣本相關附件信息
再根據5大方向目標進行細化
1.1 靜態內容特徵
靜態內容主要樣本運行時,在各種操作中使用到於正常程序存在差異的字符串或者靜態解析信息。例如:爲實現自啓動而創建的註冊表子項名稱和鍵值,創建的服務名稱……
來源:主要是通過對目標文件的靜態掃描,內存監測提取相關的特徵字符串,然後通過yara規則將特徵字符串集合。
手段:可以通過
Process Explorer 中的string功能,對指定進程的內存進行轉儲然後進行特徵正字符串進行篩選;
IDA對樣本靜態分析的時候在反彙編代碼中提取特殊參數值,.data節中提取特殊字符串;
OD/WinDbg 動態調試樣本進程的時候,實時獲取進程內存,以及參數傳遞,可以有效的彌補IDA在數據解密以及動態傳參盲區提取的特殊字符串。
當然也可以通過AnalyPE 進行靜態特徵提取。
1.2 網絡通訊特徵
網絡通訊特徵既是樣本在網絡通信時,存在特有的數據特徵.例如:目標IP,端口,數據長度,傳輸協議類型,目標IP回傳第一個指令包內容/確認包
來源:主要是通過檢測樣本建立的網絡傳輸,截獲傳輸的數據包,並對數據包進行分解,以獲取網絡通訊特徵。
手段:可以通過wireshark 進行網絡通訊數據進行截獲,並對數據包進行解析,提取通訊特徵。
1.3 動態行爲
樣本動態行爲特徵,主要覆蓋樣本在正常運行時進行的動態功能操作,關鍵的API調用,再根據API調用時傳入的參數進行着重分析參數提取。例如:
{“ACTION_BY_API”:”RegSetValueExA”,”JSON_RULE”:”{“keypath”:“.*\SYSTEM\CurrentControlSet\Services\Abcdef Hijklmno Qrs}”,”COMMENT”:”Create sysytem sevices to be Auto-Run”,”ACTION_DESCRIPTION”:”AUTOSTART.REGSEVICES”,”LEVEL”:”LEVEL_2”,”DETAILS”:”keypath,Data”,”ACTION_TYPE”:”RegistryOperations”}
獲知該樣本此次調用”RegSetValueExA” 設置的鍵值
1.4 名稱特徵
1.4.1系統動態名稱類
主要是樣本運行時系統新增加/刪除的文件。
來源:提取樣本運行時,在系統中增加/刪除的文件路徑
手段:可以通過RegShot 進行系統動態監測,監測樣本樣本運行前,時,後的系統文件變化。也可以通過追影檢測報告獲知並提取。
1.4.2靜態特徵
主要是樣本靜態下具有的特徵
來源:對樣本進行靜態解析獲得具有價值的數據特徵。例如 MD5,PDB,圖標hash,導入表,時間戳,OEP_hash,版本信息,節名
手段:通過各種文件靜態解析工具對樣本進行靜態解析提取靜態特徵數據
1.4.3網絡名稱類
IP特徵:
就是樣本建立網絡連接的IP地址接端口數據
來源:樣本建立網絡連接的IP地址接端口
手段:可以通過dbg調試類型工具獲取建立網絡連接是的IP地址;樣本未加密下IDA靜態分析提取,tcpview監測中
提取遠程IP,wireshark 網絡數據分析提取
域名特徵:
樣本在運行時使用到的域名數據
來源:樣本運行時使用到的域名
手段:同IP特徵提取
URL特徵:
樣本在運行時使用到的URL數據
來源:樣本運行時使用到的URL
手段:同IP特徵提取
2.樣本介紹
2.1基本信息
主要包括:文件名,大小,MD5.殼/編譯器,惡意判定,病毒類型,病毒名,樣本來源,病毒功能。
2.2功能說明
即對樣本大基本實現的功能進行說明描述。
功能信息來源:通過各種IDA類型靜態分析工具,dbg動態調試分析工具,Process 類型動態監測工具 來獲取樣本功能信息。
3.行爲分析
3.1樣本行爲
行爲分析和2的功能說明基本雷同,只不過行爲分析比較細化,也可以說功能說明是行爲分析的總結歸納。
行爲信息來源:
主要是通過IDA靜態分析獲取樣本的大體行爲功能;OD、Windbg進行動態調試,詳細分析樣本實現行爲調用的那些API以及傳入的參數得出樣本實現指定行爲使用到的細節;當然還可以使用Process 類型等用戶層系統動態監測工具和PCHunter,PowerTool 等系統層動態監測工具進行輔助驗證。
3.2危險行爲:
這是對樣本行爲歸納總結後得出的樣本功能,再將功能進行篩選過濾,獲取樣本的危險行爲功能。例如:自刪除,自我備份,創建服務,創先註冊表實現自啓動,隱藏進程,使用鉤子,創建網絡……
3.3進程監控:
此處的進程監控不是隻對樣本的進程監控,而是監控到樣本進程創建了哪些進程。例如:創建cmd進程進程文件刪除/隱藏,創建lsm進程,創建副本進程……
3.4文件操作:
這是樣本文件運行時樣本在系統中創建、下載或者刪除的文件,1.4.1中系統動態類型名稱特徵就是如此提取文件路徑特徵。
3.5關鍵字符串信息
靜態內容特徵就是通過關鍵字符串信息中提取的,關鍵字符串信息也是各種特徵字符串的篩選集合。例如:靜態分析數據中特有字符串,網絡特徵,靜態分析數據特徵。
4.網絡特徵
4.1網絡抓包
通過運行樣本是,使用wireshark 進行數據包抓取,分析,提取網絡特徵。
4.2數據包特徵
就是通過4.1網絡抓包分析數據說去數據包信息數據。例如:傳輸協議,方法,傳輸數據。
4.3其他通訊特徵
傳輸協議:
通過某種協議,使用某種方法傳輸數據信息。主要是用於獲取數據包中的URI。例如:
http://www.gzyisy.com:787/11/57.exe,端口……
C&C:
主要是提取C&C的IP地址。
域名解析:
主要是集合之前提取的域名以及它對應的PI地址。
通訊特徵彙總:
通訊特徵彙總也就是集合提取的所有網絡特徵。例如:IP。URI,域名,傳輸協議,傳輸數據。
5.相關文件
也就是樣本運行與他存在直接關聯的文件信息。主要信息有,文件MD5,判定病毒名稱,功能描述。這是用於日後的病毒歸類,篩選,病毒家族判定,病毒關聯。
學吧,學海無涯啊。
