分析真实环境中的恶意软件(非虚拟环境)


2

我已经使用过Cuckoo Sandbox分析了恶意软件,但是,我发现某些恶意软件无法运行,因为它们检测到它们实际上是在虚拟环境中运行的实施一些反虚拟化技术)。所以我在想的是在真实环境中运行恶意软件,然后使用干净的系统副本回滚到干净状态。 我只是想检查以下内容:

  1. 这是分析恶意软件,它实现 抗虚拟化技术或有,通常遵循其他方式的正确方法?
  2. 是否有一个特定的程序被 恶意软件分析器广泛使用来保留干净系统状态的副本,并且 被重新安装? (我感兴趣的只是Windows流氓软件)
2
  1. 是的,这是常用的方法。

  2. Faronics Deep Freeze是一款有趣的软件,可以在重启时擦除更改,但本身易受检测。 Clonezilla是一个很好的成像工具,使用起来非常简单。我见过的最好的设置是使用Intel AMT从RAM启动映像,这使得映像过程更快。


1

对于提问者的#2,答案是完整的,但让我们深入#1。

还有其他一些方法可以分析实施反虚拟化,vm检测,沙箱检测和沙箱逃避技术的恶意软件。但是,恶意软件是否也包含环境检测或回避技术,如此处概述的 - https://www.vmray.com/blog/sandbox-evasion-techniques-part-4/ - (又名上下文感知恶意软件又称为环境敏感)?

布谷鸟是功能和行为提取的优秀沙箱,因此跳转到windbg或其他经典的裸机调试并不总是明智的(尽管有时这样做是明智的)。如果Cuckoo的内置遮掩解决方案vmcloak可以阻止恶意软件检测或躲避它,那么您仍然可以获得Cuckoo的所有好处。

其中一些可以在静态分析期间甚至在简单的Yara分诊期间被早期引出。如果您使用动态分析来引发沙盒检测,规避或上下文感知恶意软件技术,则可以执行Yara分流的高级方式,以捕获恶意进程,如Godaddy的procfilter,一定要知道你的限制。 makin是确定这些反调试功能的良好开始框架。

很多这取决于您的目标与恶意软件。你想知道些什么?你有什么问题?您是否需要为仅供内部使用的黑名单提取主动型威胁指标?还是您将分享?您是否需要解除在网络系统上运行的RAT?例如,专注于民族国家的RAT可能需要跳转到工具或类似的工具。

如果你想有一个简单的解决方案,以缩放与超过vmcloak隐形功能的基于沙盒的自动化,检查出 - drakvuf.com

我在更多的裸机技术(尤其是AMT RAM拷贝机很有兴趣!)在主要答案中由@ekse说出。这些也非常有价值!但是,仅仅因为您拥有裸机并不意味着诸如定时炸弹,逻辑炸弹和特定目标恶意逻辑之类的上下文感知恶意软件技术不会成为额外的问题 - 您必须对它们进行解释!

  0

你已经解决了我想知道的深入细节,谢谢! 19 1月. 182018-01-19 10:50:55