来自 防护 2021-12-14 10:20 的文章

海外高防_英伟达神盾游戏_限时优惠

海外高防_英伟达神盾游戏_限时优惠

在这篇博文中,我们将介绍VMRay Analyzer IDA插件的第一版,它使用VMRay Analyzer的输出,用基于行为的数据丰富IDA的静态分析。该插件向IDA中动态解析的API调用添加注释,以显示解析的函数、其参数、返回值和时间戳。图1:注释示例基于API挂接将API调用记录在沙盒中是不可靠的—未挂接的函数将丢失,ddos防御工具,或者可能被其他较低级别的函数替换。VMRay Analyzer基于hypervisor的方法准确记录了示例所做的API调用。因为VMRay分析器提取精确的函数调用和调用它们的内存地址,所以我们可以在IDA中自动显示它们。在这篇博文中,阿里高防cdn价格,我们将演示恶意软件分析师如何在一个Pony示例上使用VMRay Analyzer IDA插件。分析的小马样品SHA256:c71c3662a7ebba5fdd0d804fe9ff864789fa08e8286352c21b339b9db2c3db81查看VMRay Analyzer报告我们为这个分析选择的样本属于Pony恶意软件家族,这是一个简单但非常常见的信息窃取者。在野外,小马样本托管在"92.63[.]197.60/p.exe"。它没有被正确地打包,cc防御用什么盾牌好,所以阻碍静态分析的唯一原因是许多函数是动态解析的,正如IDA警告的那样,导入表被销毁了。图2:已销毁的导入表的IDA警告VMRay Analyzer报告显示了Pony家族的YARA匹配,以及多个VTI规则匹配的信息窃取功能:从应用程序(包括FTP客户端和浏览器)读取凭据,以及强制用户帐户的密码。图3:VMRay分析仪报告的小马样本IDA插件功能VMRay Analyzer IDA插件根据沙盒中的执行向动态解析的函数调用添加注释,并为带注释的函数调用着色。此信息在文本视图、图形视图和伪代码视图中可见。解析函数、参数和返回值在下面的示例中,示例尝试使用CredEnumerateA函数读取internetexplorer存储的HTTP基本身份验证密码。函数参数和返回值也被注释了-从返回值我们可以看出,在沙盒运行期间调用失败,在这个特定的虚拟机上,Internet Explorer没有存储任何HTTP基本身份验证凭据。由于CredEnumerate函数是动态解析的,因此通常只会显示为"call dword_u"指令。图4:IDA插件解析的函数图5:没有插件颜色对于识别执行样本时所取的分支很有用。这在伪代码视图中尤其有效,在伪代码视图中,调用之前的条件得到满足是显而易见的。图6:伪代码视图中插件的结果时间标记除了API参数和返回值,插件还可以向注释添加时间戳(方括号中的数字)。图7显示了通过使用"TERMSRV/*"过滤器调用同一个函数来枚举存储的RDP凭证的Pony示例。从时间戳可以看出,这段代码是在internetexplorer凭证枚举之后到达的。时间戳有助于设置时间轴,vps怎样开cc防御,当仅依赖于静态分析时,这可能很难做到。图7:存储的RDP凭证的枚举重复呼叫的处理如果一段代码被多次调用,来自同一地址的相同API调用将被重复调用。在这个场景中,插件只显示前几个调用,而不是使IDA视图变得巨大。这有助于筛选出无关紧要的信息,并让分析师专注于相关的内容。在下图中,示例通过使用不同的lpszPassword参数调用LogonUserA来强制客户帐户的密码。注释显示了前5次暴力尝试。如果没有注释,这个函数调用将不便于静态分析:函数是动态解析的,其参数也是动态的。图8:暴力强制客户帐户的密码确定的其他行为检索系统信息:这次API地址存储在EAX寄存器中,阿里ddos攻击防御,这也由插件解析。图9:查询系统信息该样本还窃取证书:图10:证书的枚举然后它会枚举机器的用户名。图11:用户名枚举使用VMRay Analyzer IDA插件第一步是将样本提交给VMRay分析器。VMRay Analyzer执行示例并记录其行为,包括它所做的API调用。完整的分析可以下载ZIP文件。第二步是下载ZIP文件,该文件包含示例进行的所有API调用的日志。图12:函数日志示例第三步是用IDA打开样品进行静态分析。在输出窗口中,IDA插件记录它启动的日志。图13:插件成功加载的日志第四步是通过文件/加载文件菜单加载下载的压缩报告。图14:将沙盒报告加载到插件中如有必要,该插件可以帮助重新设置样本基,并将内存区域与PE部分相匹配。对于这个示例,这是不言而喻的,因为只有1个部分是可能匹配的。该插件使用启发式来计算匹配百分比。用户还可以选择显示每个API调用的时间戳。这对于显示IDA中子程序的执行顺序也很有用。图15:为每个API调用选择时间戳结论在分析未打包的有效负载时,恶意软件沙箱对于发现样本的主要行为非常有用:提取ioc和网络活动并建立事件时间轴。然而,为了了解样本的内部结构,找到样本所能提供的每一个特征,最好将动态分析与静态分析相结合。VMRay Analyzer-IDA插件使这种组合更加容易,并且在静态分析可能陷入困境的情况下有帮助。VMRay Analyzer客户可以从web界面的集成页面下载IDA插件。博赞塔马斯博赞塔马斯是VMRay的高级威胁分析师。他负责查找和分析相关的恶意软件样本,并提高VMRay的检测能力。在VMRay之前,Tamas在一家反病毒公司研究规避恶意软件并开发了一个恶意软件分析沙盒。