來(lái)源：Malware Data Science Attack Detection and Attribution

在第2章中寸莫，您學(xué)習(xí)了高級(jí)靜態(tài)分析技術(shù)锐朴，以反匯編從惡意軟件中恢復(fù)的匯編代碼声功。雖然靜態(tài)分析可以通過(guò)研究磁盤(pán)上的不同組件來(lái)獲得有關(guān)惡意軟件的有用信息愿卸，但是它不允許我們觀察惡意軟件的行為埠啃。

在本章中瑟由，您將了解動(dòng)態(tài)惡意軟件分析的基礎(chǔ)知識(shí)。與靜態(tài)分析不同痕檬，動(dòng)態(tài)分析關(guān)注的是惡意軟件在文件形式中的外觀霎槐，而動(dòng)態(tài)分析則是在一個(gè)安全的、包含惡意軟件的環(huán)境中運(yùn)行惡意軟件梦谜，以查看它的行為丘跌。這就像把一種危險(xiǎn)的菌株引入一個(gè)封閉的環(huán)境中，觀察它對(duì)其他細(xì)胞的影響唁桩。

通過(guò)使用動(dòng)態(tài)分析闭树，我們可以繞過(guò)常見(jiàn)的靜態(tài)分析障礙，比如打包和混淆荒澡，并且可以更直接地了解給定惡意軟件樣本的目的报辱。我們首先探討基本的動(dòng)態(tài)分析技術(shù)，它們與惡意軟件數(shù)據(jù)科學(xué)的關(guān)系单山，以及它們的應(yīng)用碍现。我們使用像malwr.com這樣的開(kāi)源工具來(lái)研究動(dòng)態(tài)分析的實(shí)例。注意米奸，這是對(duì)該主題的簡(jiǎn)要概述昼接，并不打算全面。要獲得更完整的介紹悴晰，請(qǐng)查看實(shí)用惡意軟件分析慢睡。

一、為什么使用動(dòng)態(tài)分析?

為了理解為什么動(dòng)態(tài)分析很重要膨疏，讓我們考慮打包惡意軟件的問(wèn)題一睁∽昱回想一下打包惡意軟件是指壓縮或混淆惡意軟件的x86匯編代碼佃却，以隱藏程序的惡意性質(zhì)。一個(gè)打包的惡意軟件樣本在感染目標(biāo)機(jī)器時(shí)將自己解包窘俺，以便代碼可以執(zhí)行饲帅。

我們可以嘗試使用第2章中討論的靜態(tài)分析工具來(lái)解壓縮或混淆的惡意軟件樣本，但這是一個(gè)費(fèi)力的過(guò)程瘤泪。例如灶泵，使用靜態(tài)分析，我們首先必須找到混淆代碼在惡意軟件文件中的位置对途。然后赦邻，我們必須找到解模糊子程序的位置，這些子程序可以解模糊代碼实檀，使其能夠運(yùn)行惶洲。在找到子例程之后按声，我們必須弄清楚這個(gè)去混淆過(guò)程是如何工作的，以便在代碼上執(zhí)行它恬吕。只有這樣签则，我們才能開(kāi)始對(duì)惡意代碼進(jìn)行逆向工程的實(shí)際過(guò)程。

一個(gè)簡(jiǎn)單而聰明的替代方法是在一個(gè)稱為沙箱的安全铐料、包含的環(huán)境中執(zhí)行惡意軟件渐裂。在沙箱中運(yùn)行惡意軟件可以讓它自己解壓，就像感染真實(shí)目標(biāo)一樣钠惩。通過(guò)簡(jiǎn)單地運(yùn)行惡意軟件柒凉，我們可以找出一個(gè)特定的惡意軟件二進(jìn)制文件連接到什么服務(wù)器，它更改了什么系統(tǒng)配置參數(shù)篓跛，以及它試圖執(zhí)行什么設(shè)備I/O(輸入/輸出)扛拨。

二、惡意軟件數(shù)據(jù)科學(xué)的動(dòng)態(tài)分析

動(dòng)態(tài)分析不僅適用于惡意軟件逆向工程举塔，而且適用于惡意軟件數(shù)據(jù)科學(xué)绑警。因?yàn)閯?dòng)態(tài)分析揭示了惡意軟件樣本的功能，所以我們可以將其行為與其他惡意軟件樣本進(jìn)行比較央渣。例如计盒，因?yàn)閯?dòng)態(tài)分析顯示了惡意軟件樣本寫(xiě)入磁盤(pán)的文件，所以我們可以使用這些數(shù)據(jù)來(lái)連接那些將類似文件名寫(xiě)入磁盤(pán)的惡意軟件樣本芽丹。這些線索幫助我們根據(jù)共同特征對(duì)惡意軟件樣本進(jìn)行分類北启。它們甚至可以幫助我們識(shí)別由相同組織編寫(xiě)的惡意軟件樣本，或者是相同活動(dòng)的一部分拔第。

最重要的是咕村，動(dòng)態(tài)分析對(duì)于構(gòu)建基于機(jī)器學(xué)習(xí)的惡意軟件檢測(cè)器非常有用。通過(guò)在動(dòng)態(tài)分析過(guò)程中觀察惡意二進(jìn)制文件和良性二進(jìn)制文件的行為蚊俺，我們可以訓(xùn)練一個(gè)檢測(cè)器來(lái)區(qū)分惡意二進(jìn)制文件和良性二進(jìn)制文件懈涛。例如，通過(guò)觀察惡意軟件和良性文件中的數(shù)千條動(dòng)態(tài)分析日志泳猬，機(jī)器學(xué)習(xí)系統(tǒng)可以了解到批钠，當(dāng)msword.exe啟動(dòng)一個(gè)名為powershell.exe的進(jìn)程時(shí)，該操作是惡意的得封，但是當(dāng)msword.exe啟動(dòng)Internet Explorer時(shí)埋心，這可能是無(wú)害的。第8章將詳細(xì)介紹如何使用基于靜態(tài)和動(dòng)態(tài)分析的數(shù)據(jù)構(gòu)建惡意軟件檢測(cè)器忙上。但在創(chuàng)建復(fù)雜的惡意軟件檢測(cè)器之前拷呆，讓我們先看看一些用于動(dòng)態(tài)分析的基本工具。

三、動(dòng)態(tài)分析的基本工具

您可以在網(wǎng)上找到許多免費(fèi)的茬斧、開(kāi)放源碼的動(dòng)態(tài)分析工具箫柳。本節(jié)主要介紹malwr.com和CuckooBox。malwr.com站點(diǎn)有一個(gè)web界面啥供，允許您免費(fèi)提交二進(jìn)制文件進(jìn)行動(dòng)態(tài)分析悯恍。CuckooBox是一個(gè)軟件平臺(tái)，它允許您設(shè)置自己的動(dòng)態(tài)分析環(huán)境伙狐，以便在本地分析二進(jìn)制文件涮毫。CuckooBox平臺(tái)的創(chuàng)建者也運(yùn)營(yíng)著malwr.com, malwr.com在后臺(tái)運(yùn)行CuckooBox。因此贷屎，學(xué)習(xí)如何在malwr.com上分析結(jié)果將使您了解CuckooBox的結(jié)果罢防。

四、典型的惡意行為

以下是惡意軟件樣本在執(zhí)行時(shí)可能采取的主要行動(dòng)類別:

（1）例如唉侄，修改文件系統(tǒng)咒吐，將設(shè)備驅(qū)動(dòng)程序?qū)懭氪疟P(pán)，更改系統(tǒng)配置文件属划，向文件系統(tǒng)添加新程序恬叹，修改注冊(cè)表項(xiàng)以確保程序自動(dòng)啟動(dòng)

（2）修改Windows注冊(cè)表以更改系統(tǒng)配置，例如更改防火墻設(shè)置

（3）例如同眯，加載記錄用戶擊鍵的設(shè)備驅(qū)動(dòng)程序

（4）例如绽昼，解析域名和發(fā)出HTTP請(qǐng)求等網(wǎng)絡(luò)操作

我們將使用惡意軟件樣本更詳細(xì)地研究這些行為，并在malwr.com上分析其報(bào)告须蜗。

五硅确、加載malwr.com上的文件

要通過(guò)malwr.com運(yùn)行惡意軟件樣本，請(qǐng)導(dǎo)航到https://malwr.com/明肮，然后單擊Submit按鈕上傳并提交用于分析的二進(jìn)制文件菱农。我們將使用一個(gè)二進(jìn)制文件，它的SHA256散列以字符d676d95開(kāi)頭柿估，您可以在本章附帶的數(shù)據(jù)目錄中找到它循未。我鼓勵(lì)您將這個(gè)二進(jìn)制文件提交到malwr.com，并在運(yùn)行過(guò)程中親自檢查結(jié)果官份。submit頁(yè)面如圖3-1所示

通過(guò)此表單提交示例后只厘，站點(diǎn)應(yīng)該提示您等待分析完成，這通常需要5分鐘舅巷。當(dāng)結(jié)果加載時(shí)，您可以檢查它們河咽，以了解可執(zhí)行文件在動(dòng)態(tài)分析環(huán)境中運(yùn)行時(shí)做了什么钠右。

六、分析malwr.com上的結(jié)果

示例的結(jié)果頁(yè)面應(yīng)該如圖3-2所示忘蟹。

該文件的結(jié)果說(shuō)明了動(dòng)態(tài)分析的一些關(guān)鍵方面飒房，我們將在接下來(lái)進(jìn)行研究搁凸。

（1）簽名面板

您將在結(jié)果頁(yè)面上看到的前兩個(gè)面板是分析和文件詳細(xì)信息。它們包含文件運(yùn)行的時(shí)間和關(guān)于文件的其他靜態(tài)細(xì)節(jié)狠毯。這里我將重點(diǎn)關(guān)注的面板是signature面板护糖，如圖3-3所示。此面板包含來(lái)自文件本身及其在動(dòng)態(tài)分析環(huán)境中運(yùn)行時(shí)的行為的高級(jí)信息嚼松。讓我們討論一下這些簽名的含義嫡良。

圖中顯示的前三個(gè)簽名來(lái)自靜態(tài)分析(也就是說(shuō)，這些簽名來(lái)自惡意軟件文件本身的屬性献酗，而不是其操作)寝受。第一個(gè)簽名只是告訴我們，流行的殺毒聚合器VirusTotal.com上的許多殺毒引擎將該文件標(biāo)記為惡意軟件罕偎。第二個(gè)表示二進(jìn)制文件包含壓縮或加密的數(shù)據(jù)很澄，這是混淆的常見(jiàn)標(biāo)志。第三個(gè)例子告訴我們颜及，這個(gè)二進(jìn)制文件是用流行的UPX封隔器壓縮的甩苛。雖然這些靜態(tài)指示器本身并沒(méi)有告訴我們這個(gè)文件做了什么，但是它們告訴我們它可能是惡意的俏站。(注意浪藻，顏色并不對(duì)應(yīng)靜態(tài)和動(dòng)態(tài)類別;相反，它代表了每條規(guī)則的嚴(yán)肅性乾翔，紅色(這里是深灰色)比黃色更可疑爱葵。

接下來(lái)的三個(gè)簽名來(lái)自文件的動(dòng)態(tài)分析。第一個(gè)簽名表示程序試圖識(shí)別系統(tǒng)的硬件和操作系統(tǒng)反浓。第二個(gè)跡象表明萌丈，該程序使用了Windows的一個(gè)有害特性，即備用數(shù)據(jù)流(ADS)雷则，它允許惡意軟件隱藏磁盤(pán)上的數(shù)據(jù)辆雾，以便在使用標(biāo)準(zhǔn)文件系統(tǒng)瀏覽工具時(shí)不可見(jiàn)。第三個(gè)簽名表示文件更改了Windows注冊(cè)表月劈，以便當(dāng)系統(tǒng)重新啟動(dòng)時(shí)度迂，它指定的程序?qū)⒆詣?dòng)執(zhí)行。這將重新啟動(dòng)惡意軟件猜揪，每當(dāng)用戶重新啟動(dòng)他們的系統(tǒng)惭墓。

正如您所看到的，即使在這些自動(dòng)觸發(fā)的簽名級(jí)別上而姐，動(dòng)態(tài)分析也會(huì)極大地增加我們對(duì)文件預(yù)期行為的了解腊凶。

七、截屏面板

在簽名面板下面是截圖面板。這個(gè)面板顯示了惡意軟件運(yùn)行時(shí)動(dòng)態(tài)分析環(huán)境桌面的截圖钧萍。圖3-4顯示了這樣一個(gè)示例褐缠。

您可以看到，我們正在處理的惡意軟件是勒索軟件风瘦，這是一種惡意軟件队魏，加密目標(biāo)的文件，并迫使他們付出代價(jià)万搔，如果他們想要回他們的數(shù)據(jù)胡桨。通過(guò)簡(jiǎn)單地運(yùn)行我們的惡意軟件，我們就可以發(fā)現(xiàn)它的目的蟹略，而不用求助于逆向工程登失。

八、修改后的系統(tǒng)對(duì)象面板

屏幕截圖下面的一行標(biāo)題顯示了惡意軟件樣本的網(wǎng)絡(luò)活動(dòng)挖炬。我們的二進(jìn)制文件沒(méi)有參與任何網(wǎng)絡(luò)通信揽浙，但是如果它參與了，我們將在這里看到它所聯(lián)系的主機(jī)意敛。圖3-5顯示了Summary面板馅巷。

這將顯示惡意軟件修改了哪些系統(tǒng)對(duì)象，如文件草姻、注冊(cè)表項(xiàng)和互斥對(duì)象钓猬。

在每個(gè)文件路徑之后都是一個(gè)擴(kuò)展名為.locked的文件，我們可以推斷它是已替換文件的加密版本撩独。接下來(lái)敞曹，我們將查看Registry Keys選項(xiàng)卡，如圖3-7所示综膀。

注冊(cè)表是Windows用來(lái)存儲(chǔ)配置信息的數(shù)據(jù)庫(kù)澳迫。配置參數(shù)存儲(chǔ)為注冊(cè)表項(xiàng)，這些項(xiàng)具有關(guān)聯(lián)的值剧劝。與Windows文件系統(tǒng)上的文件路徑類似橄登，注冊(cè)表鍵也是用反斜杠分隔的。Malwr.com顯示了我們的惡意軟件修改了哪些注冊(cè)表鍵讥此。雖然這不是如圖3 - 7所示,如果你把完整的報(bào)告在malwr.com上,你應(yīng)該看到一個(gè)明顯的注冊(cè)表鍵我們的惡意軟件改變微軟HKEY_LOCAL_MACHINE \ SOFTWARE \ \ Windows \ CurrentVersion \運(yùn)行,這是一個(gè)告訴Windows注冊(cè)表鍵運(yùn)行程序每次用戶登錄拢锹。很可能是我們的惡意軟件修改了這個(gè)注冊(cè)表，以告訴Windows在每次系統(tǒng)啟動(dòng)時(shí)重新啟動(dòng)惡意軟件萄喳，從而確保惡意軟件感染從重啟持續(xù)到重啟卒稳。

malwr.com報(bào)告中的互斥對(duì)象選項(xiàng)卡包含惡意軟件創(chuàng)建的互斥對(duì)象的名稱，如圖3-8所示取胎。

互斥鎖是一種鎖定文件展哭，它表示程序已經(jīng)擁有了某些資源湃窍。惡意軟件通常使用互斥體來(lái)防止自己感染系統(tǒng)兩次闻蛀。結(jié)果匪傍，至少創(chuàng)建了一個(gè)互斥量(ctf . timlistcache . fmpdefaults -1-5-21-1547161642-507921405-839522115- 1004tex)。安全社區(qū)知道DefaultS-1-5-21-1547161642-507921405-839522115-1004是與惡意軟件相關(guān)的觉痛，可能在這里服務(wù)于這個(gè)目的役衡。

九、API調(diào)用分析

單擊malwr.com UI左側(cè)面板上的behavior Analysis選項(xiàng)卡薪棒，如圖3-9所示手蝎，應(yīng)該會(huì)顯示關(guān)于惡意軟件二進(jìn)制代碼行為的詳細(xì)信息。

這顯示了惡意軟件啟動(dòng)的每個(gè)進(jìn)程的API調(diào)用俐芯，以及它們的參數(shù)和返回值棵介。仔細(xì)閱讀這些信息非常耗時(shí)，并且需要Windows api的專業(yè)知識(shí)吧史。雖然對(duì)惡意軟件API調(diào)用分析的詳細(xì)討論超出了本書(shū)的范圍邮辽，但是如果您有興趣了解更多信息，您可以查詢各個(gè)API調(diào)用來(lái)發(fā)現(xiàn)它們的效果贸营。

雖然malwr.com對(duì)于動(dòng)態(tài)分析單個(gè)惡意軟件樣本是一個(gè)很好的資源吨述，但是對(duì)于對(duì)大量樣本執(zhí)行動(dòng)態(tài)分析卻不是很好。在動(dòng)態(tài)環(huán)境中執(zhí)行大量樣本對(duì)于機(jī)器學(xué)習(xí)和數(shù)據(jù)分析非常重要钞脂，因?yàn)樗梢宰R(shí)別惡意軟件樣本的動(dòng)態(tài)執(zhí)行模式之間的關(guān)系揣云。創(chuàng)建能夠基于惡意軟件的動(dòng)態(tài)執(zhí)行模式檢測(cè)惡意軟件實(shí)例的機(jī)器學(xué)習(xí)系統(tǒng)需要運(yùn)行數(shù)千個(gè)惡意軟件樣本。

除了這個(gè)限制之外冰啃，malwr.com不提供機(jī)器可解析格式(如XML或JSON)的惡意軟件分析結(jié)果邓夕。要解決這些問(wèn)題，您必須設(shè)置并運(yùn)行自己的CuckooBox阎毅。幸運(yùn)的是CuckooBox是免費(fèi)的開(kāi)源軟件焚刚。它還提供了設(shè)置您自己的動(dòng)態(tài)分析環(huán)境的逐步說(shuō)明。我鼓勵(lì)您訪問(wèn)http://cuckoosandbox.org/【谎Γ現(xiàn)在您已經(jīng)了解了如何解釋malwr.com(它在幕后使用CuckooBox)中的動(dòng)態(tài)惡意軟件結(jié)果汪榔，您還將了解如何在CuckooBox啟動(dòng)并運(yùn)行后分析CuckooBox結(jié)果。

十肃拜、基本動(dòng)態(tài)分析的局限性

動(dòng)態(tài)分析是一個(gè)強(qiáng)大的工具痴腌，但它不是惡意軟件分析的萬(wàn)靈藥。事實(shí)上燃领，它有嚴(yán)重的局限性士聪。一個(gè)限制是，惡意軟件的作者知道CuckooBox和其他動(dòng)態(tài)分析框架猛蔽，并試圖繞過(guò)它們剥悟，讓它們的惡意軟件在檢測(cè)到自己在CuckooBox中運(yùn)行時(shí)無(wú)法執(zhí)行灵寺。CuckooBox的維護(hù)人員知道惡意軟件的作者試圖這樣做，所以他們?cè)噲D繞過(guò)惡意軟件繞過(guò)CuckooBox的企圖区岗。這種貓捉老鼠的游戲不斷地上演略板，以至于一些惡意軟件樣本不可避免地會(huì)檢測(cè)到它們正在動(dòng)態(tài)分析環(huán)境中運(yùn)行，而當(dāng)我們?cè)噲D運(yùn)行它們時(shí)卻無(wú)法執(zhí)行慈缔。

另一個(gè)限制是叮称，即使沒(méi)有任何規(guī)避嘗試，動(dòng)態(tài)分析也可能無(wú)法揭示重要的惡意軟件行為藐鹤∪块埽考慮惡意軟件二進(jìn)制文件的情況，它在執(zhí)行時(shí)連接回遠(yuǎn)程服務(wù)器娱节，并等待發(fā)出命令挠蛉。例如，這些命令可能告訴惡意軟件樣本在受害主機(jī)上查找特定類型的文件肄满，記錄擊鍵谴古，或打開(kāi)網(wǎng)絡(luò)攝像頭。在這種情況下悄窃，如果遠(yuǎn)程服務(wù)器沒(méi)有發(fā)送任何命令讥电，或者不再運(yùn)行，這些惡意行為都不會(huì)顯示轧抗。由于這些限制恩敌，動(dòng)態(tài)分析并不是惡意軟件分析的萬(wàn)能工具。事實(shí)上横媚，專業(yè)的惡意軟件分析師將動(dòng)態(tài)分析和靜態(tài)分析結(jié)合起來(lái)纠炮，以達(dá)到最佳的可能結(jié)果。

總結(jié)

在本章中灯蝴，您使用malwr.com對(duì)勒索軟件惡意軟件樣本進(jìn)行了動(dòng)態(tài)分析恢口，以分析結(jié)果。您還了解了動(dòng)態(tài)分析的優(yōu)點(diǎn)和缺點(diǎn)穷躁。既然您已經(jīng)學(xué)習(xí)了如何進(jìn)行基本的動(dòng)態(tài)分析耕肩，那么您已經(jīng)準(zhǔn)備好深入研究惡意軟件數(shù)據(jù)科學(xué)。

本書(shū)的其余部分側(cè)重于在基于靜態(tài)分析的惡意軟件數(shù)據(jù)上執(zhí)行惡意軟件數(shù)據(jù)科學(xué)问潭。我將重點(diǎn)介紹靜態(tài)分析猿诸，因?yàn)榕c動(dòng)態(tài)分析相比，靜態(tài)分析更簡(jiǎn)單狡忙、更容易獲得良好的結(jié)果梳虽，這使它成為您接觸惡意軟件數(shù)據(jù)科學(xué)的良好起點(diǎn)。不過(guò)灾茁，在后面的每一章中窜觉，我還將解釋如何將數(shù)據(jù)科學(xué)方法應(yīng)用于基于動(dòng)態(tài)分析的數(shù)據(jù)谷炸。