実際の環境でのマルウェアの分析(非仮想環境)


2

以前はCuckoo Sandboxを使用してマルウェアを分析しましたが、実際には仮想環境で動作していることを検出するとマルウェアが実行されませんいくつかの反仮想化技術を実装する)。だから私が考えていたのは、実際の環境でマルウェアを実行してから、システムのクリーンなコピーを使用してクリーンな状態にロールバックすることです。 私は次のことを確認したい:

  1. が、これは 抗仮想化技術を実装したり、通常は続いている他の方法があるマルウェアを分析するための適切な方法ですか?
  2. マルウェアアナライザがクリーンシステム状態のコピーを保持するために広く使用されている特定のプログラムがありますか? 再インストールしますか?はい、これは一般的に使用されるアプローチである
2
  1. (私は、Windowsのマルウェアに興味があります)。

  2. Faronics Deep Freezeは、再起動時に変更を消去する興味深いソフトウェアですが、検出の対象となります。 Clonezillaは優れたイメージングツールであり、使い方は簡単です。私が見てきた最良の設定は、インテルAMTを使用してRAMからイメージをブートすることです。これにより、イメージングプロセスが大幅に高速化されます。


1

質問者の#2の回答は完了ですが、#1を少し深めてみましょう。

アンチ仮想化、VM検出、サンドボックス検出、およびサンドボックス回避技術を実装するマルウェアを分析する他の方法もあります。ただし、ここに記載されているような環境に配慮した検出または回避技術も含まれていますか?https://www.vmray.com/blog/sandbox-evasion-techniques-part-4/ - (環境認識型のコンテキスト認識型マルウェアとも呼ばれます)

Cuckooは機能や動作抽出に優れたサンドボックスなので、windbgや他の古典的なベアメタルデバッグに飛びつくのは賢明ではありません(ただしこれは賢明なことです)。 Cuckooの組み込みのクローキングソリューションvmcloakは、マルウェアが検出されたり回避されたりするのを防ぐことができれば、まだCuckooのメリットをすべて得ることができます。

これらのいくつかは、静的分析の間に、または単純なYaraトリアージの間に早期に誘発することができる。 https://github.com/godaddy/yara-rules/blob/master/features/virtualbox_detection.yara

ダイナミック分析を使用してサンドボックス検出、回避、またはコンテキスト認識マルウェアテクニックを実行する場合は、あなたの限界を知っていることを確認してください。 makinは、これらのアンチデバッグ機能を判断するのに適した開始フレームワークです。

これは、マルウェアの目標によって異なります。あなたは彼らについて何を知りたいのですか?どのような質問がありますか?社内のみのブラックリストのためにプロアクティブ脅威インジケータを抽出する必要がありますか、それともそれらを共有しますか?ネットワーク内のシステム上で動作しているRATの構成を解除する必要がありますか?例えば、国家のRATに焦点を当てると、ツール-https://github.com/ctxis/CAPE - などへのジャンプが必要になるかもしれません。

あなたがvmcloakを超えるステルス機能を持つサンドボックス・ベースの自動化をスケーリングするシンプルなソリューションをしたい場合は、チェックアウト - drakvuf.com

を私はベアメタル技術のより多くので間違いなく興味を持っています(特にAMT RAMのクローナー!)は主な答えで@ekseによって話されました。これらはまた非常に貴重です!しかし、あなたがベアメタルを持っているからといって、時限爆弾、論理爆弾、特定の標的にされた悪意のあるロジックなど、状況に応じたマルウェアのテクニックが追加の問題にならないということを意味するわけではありません。

  0

あなたは、詳細を知りたいと思っていたことに感謝しました。ありがとう! 19 1月. 182018-01-19 10:50:55