在本文中，我們將分解惡意程序調查的目標以及如何使用沙箱進行惡意軟件分析。

什么是惡意軟件分析？

惡意軟件分析是研究惡意樣本的過程。在研究過程中，研究人員的目標是了解惡意程序的類型、功能、代碼和潛在危險。接收組織需要響應入侵的信息。

得到的分析結果：

• 惡意軟件的工作原理：如果調查程序的代碼及其算法，將能夠阻止它感染整個系統。
• 該程序的特點：通過使用惡意軟件的數據（如其家族、類型、版本等）來改進檢測。
• 惡意軟件的目標是什么：觸發樣本的執行以檢查它所針對的數據，當然，在安全的環境中進行。
• 誰是攻擊的幕后黑手：獲取黑客隱藏的 IP、來源、使用的 TTP 和其他足跡。
• 關于如何防止此類攻擊的計劃。

惡意軟件分析的類型

惡意軟件分析的關鍵步驟

在這五個步驟中，調查的主要重點是盡可能多地找出惡意樣本、執行算法以及惡意軟件在各種場景中的工作方式。

我們認為，分析惡意軟件最有效的方法是混合使用靜態和動態方法。這是有關如何進行惡意軟件分析的簡短指南。只需按照以下步驟操作：

步驟 1. 設置虛擬機

可以自定義具有特定要求的 VM，例如瀏覽器、Microsoft Office、選擇操作系統位數和區域設置。添加用于分析的工具并將它們安裝在 VM 中：FakeNet、MITM 代理、Tor、VPN。也可以在沙箱中輕松完成，以ANY.RUN為例：

步驟 2. 查看靜態屬性

這是靜態惡意軟件分析的階段。在不運行的情況下檢查可執行文件：檢查字符串以了解惡意軟件的功能。哈希、字符串和標頭的內容將提供惡意軟件意圖的概述。

例如，在下面的屏幕截圖中，我們可以看到 Formbook 示例的哈希、PE Header、mime 類型和其他信息。為了簡要了解功能，我們可以查看惡意軟件分析示例中的 Import 部分，其中列出了所有導入的 DLL。

步驟 3. 監控惡意軟件行為

這是惡意軟件分析的動態方法。在安全的虛擬環境中上傳惡意軟件樣本。直接與惡意軟件交互以使程序采取行動并觀察其執行情況。檢查網絡流量、文件修改和注冊表更改。以及任何其他可疑事件。

在我們的在線沙盒示例中，我們可能會查看網絡流內部，以接收到 C2 的騙子憑據信息以及從受感染機器上竊取的信息。

步驟 4. 分解代碼

如果威脅參與者混淆或打包代碼，請使用反混淆技術和逆向工程來揭示代碼。識別在先前步驟中未公開的功能。即使只是尋找惡意軟件使用的功能，也可能會說很多關于它的功能。例如，函數“InternetOpenUrlA”表明該惡意軟件將與某個外部服務器建立連接。

在這個階段需要額外的工具，比如調試器和反匯編器。

步驟 5. 編寫惡意軟件報告。

包括發現的所有發現和數據。提供以下信息：

• 包含惡意程序名稱、來源和主要功能的研究摘要。
• 有關惡意軟件類型、文件名、大小、哈希和防病毒檢測能力的一般信息。
• 惡意行為描述、感染算法、傳播技術、數據收集和С2通信方式。
• 必要的操作系統位數、軟件、可執行文件和初始化文件、DLL、IP 地址和腳本。
• 審查行為活動，例如它從何處竊取憑據，是否修改、刪除或安裝文件、讀取值和檢查語言。
• 代碼分析結果，標題數據。
• 截圖、日志、字符串行、摘錄等。

交互式惡意軟件分析

現代防病毒軟件和防火墻無法應對未知威脅，例如有針對性的攻擊、零日漏洞、高級惡意程序和未知簽名的危險。所有這些挑戰都可以通過交互式沙箱來解決。

互動性是我們服務的主要優勢。使用 ANY.RUN，可以直接處理可疑樣本，就像在個人計算機上打開它一樣：單擊、運行、打印、重新啟動。可以處理延遲的惡意軟件執行并制定不同的方案以獲得有效的結果。

在調查期間，可以：

• 獲得交互式訪問：像在個人計算機上一樣使用 VM：使用鼠標、輸入數據、重新啟動系統并打開文件。
• 更改設置：預裝的軟件集，多個不同位數和版本的操作系統已準備好。
• 為虛擬機選擇工具：FakeNet、MITM 代理、Tor、OpenVPN。
• 研究網絡連接：攔截數據包并獲取 IP 地址列表。
• 即時訪問分析： VM 立即啟動分析過程。
• 監控系統進程：實時觀察惡意軟件行為。
• 收集 IOC： IP 地址、域名、哈希等可用。
• 獲取 MITRE ATT@CK 矩陣：詳細查看 TTP。
• 有一個過程圖：評估一個圖中的所有過程。
• 下載現成的惡意軟件報告：以方便的格式打印所有數據。

所有這些功能都有助于揭示復雜的惡意軟件并實時查看攻擊結構。

嘗試使用交互式方法破解惡意軟件。如果使用 沙箱，可以進行惡意軟件分析并享受快速的結果、簡單的研究過程、甚至可以調查復雜的惡意軟件并獲得詳細的報告。按照步驟，使用智能工具并成功捕獲惡意軟件。