惡意軟件分析涵蓋一系列活動，其中包括仔細檢查惡意軟件的網絡流量。要想有效地做好這項工作，關鍵在于要了解常見的威脅以及如何克服這些威脅。下面將介紹企業可能遇到的三個常見問題以及解決它們所需要的工具。

解密HTTPS流量

超文本安全傳輸協議（HTTPS）原本是一種確保安全在線通信的協議，如今卻已經成為了惡意軟件隱藏其惡意活動的一種工具。通過偽裝受感染設備與指揮和控制（C&C）服務器之間的數據交換，惡意軟件就可以在不被發覺的情況下運行，往外泄露敏感數據，安裝額外的攻擊載荷，并接收來自攻擊者團伙的指令。

然而，如果有合適的工具，解密HTTPS流量就輕而易舉。為此，我們可以使用中間人（MITM）代理，MITM代理充當了客戶機與服務器之間的中介，可以攔截兩者之間傳輸的信息。

MITM代理幫助分析人員實時監控惡意軟件的網絡流量，以便他們清楚地了解惡意活動。除此之外，分析人員還可以訪問請求和響應數據包的內容、IP以及URL，以查看惡意軟件通信的詳細信息，并識別竊取的數據，這種工具對于提取惡意軟件使用的SSL密鑰特別有用。

圖1. ANY.RUN沙箱提供的有關AxileStealer的信息

在這個例子中，初始文件（大小為237.06 KB）投放AxilStealer的可執行文件（大小為129.54 KB）。作為一種典型的信息竊取器，它獲得了訪問存儲在網絡瀏覽器中的密碼的權限，開始通過Telegram消息傳遞連接將密碼傳輸給攻擊者。

規則“STEALER [ANY.RUN] Attempt to exfiltrate via Telegram”（STEALER [ANY.RUN]企圖通過Telegram往外泄露）表明了惡意活動。由于MITM代理功能，惡意軟件的流量已被解密，揭露了這個事件的更多細節。

發現惡意軟件家族

識別惡意軟件家族是任何網絡調查工作的一個關鍵部分。Yara規則和Suricata規則是用于這項任務的兩種常用工具，但在處理服務器不再活躍的惡意軟件樣本時，它們的有效性卻可能受到限制。

FakeNET為此提供了一個解決方案，即創建一條虛假的服務器連接來響應惡意軟件請求，誘騙惡意軟件發送請求可以觸發Suricata規則或YARA規則，該規則可以準確識別惡意軟件家族。

圖2. ANY.RUN沙箱檢測到的非活躍服務器

在分析該樣本時，沙箱指出了惡意軟件的服務器沒有響應這個事實。

圖3. 使用FakeNET識別出來的Smoke Loader惡意軟件

然而，在啟用FakeNET功能后，該惡意軟件立即向虛假的服務器發送請求，觸發識別出它是Smoke Loader的網絡規則。

捕捉針對特定地區的隱蔽性惡意軟件

許多攻擊和網絡釣魚活動將目光重點投向特定的地區或國家。隨后，它們結合IP地理位置、語言檢測或網站屏蔽等機制，這些機制可能會限制分析人員檢測它們的能力。

除了針對特定地區外，惡意軟件團伙還可能利用一些技術來逃避沙箱環境中的分析活動。一種常見的方法是驗證系統是否正在使用數據中心IP地址。一旦予以證實，惡意軟件就停止執行。

為了克服這些障礙，分析人員使用了住宅代理。這種出色工具的工作原理是，將分析人員的設備或虛擬機的IP地址換成來自世界不同地區的普通用戶的住宅IP。

這項功能使專業人員能夠通過模仿本地用戶來繞過地理限制，并在不暴露其沙箱環境的情況下研究惡意活動。

圖4. 使用FakeNET識別出來的Smoke Loader惡意軟件

在這里，一旦主機IP地址被上傳到了沙箱，Xworm就立即核查該IP地址。然而，由于虛擬機有一個住宅代理，惡意軟件繼續執行，并連接到其指揮和控制服務器。