概述
Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。
该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。
系统的功能如下,主要为3个:
[1] 使用yara检测脚本对应的病毒家族。
[2] 计算脚本与样本库中每个样本的相似度。
[3] 提取脚本新增/改动的恶意代码。
通过以上3个环节,就能检测出该脚本所属的家族,与其最相似的样本,以及新改动的恶意代码,从而快速定位到本次病毒变种更新的恶意项(C&C域名/文件路径/进程名等)。
使用方法
系统结构由3部分组成,yara规则库、病毒样本库、功能代码,后者运行后会读取规则和样本内容进行检测。