没有分析的生活是毫无意义的.—苏格拉底
试验-探索自动化病毒样本动态行为分析系统中的漏洞
实验设计
试验目的:
通过设计实验探寻主流在线分析工具中可能存在的一些漏洞,期望从中归纳出改善自动分析工具的分析能力.
被测试目标:
自动化的病毒样本动态行为分析系统
fireeye.ijinshang.com
金山火眼
实验步骤:
环境探测
- 目的:通过对虚拟分析系统环境特征的分析找出能用来区别虚拟分析系统环境和普通用户机的特征.
反馈原理:利用该系统中反馈样本信息的特点反馈可控信息.即使是一个Bool已足够.更详细的资料参看这里:反向探测>病毒虚拟机’特征
系统信息
- 操作系统版本
- 进程列表
- 启动项信息
- 桌面信息
- ……
- 硬件信息
- 硬件种类数量类型
- 分区信息
- 硬件厂商
- ……
为了防止分析系统不能反馈信息:
- 无害信息不报告
- 不需要报告的时候被检测出样本
我们采取的策略是:
将已知病毒体加密后放在靶程序资源区.按通过探测不同的环境信息的结果选择释放或者不释放样本.
用释放样本的名字传递出更多信息.
环境漏洞分析与探测
绕过策略:
- 火眼分析系统中竟然存在Z盘……太……
逻辑漏洞介绍与探测
直接判断系统环境进行病毒体的释放,容易被现有自动虚拟机发觉.
以下是我用一分钟想出来的方法:
- 内存膨胀-大大大
- 重启解密~传参解密
- 远程获取解密密钥解密。
-……
本文撰写目的
撰写本文不是为了破坏谁的安全性.
因为安全性就在那里,你不管它,它从不增加.表面光鲜可爱,实则千疮百孔.
笔者想强调的是:
DT时代,数据流的监视的必要性,以及算法识别及防护的必要性。
这都是对传统虚拟机分析的考验。-有感于最近微软的Sonar计划