惡意軟件分析涵蓋一系列活動，其中包括仔細檢查惡意軟件的網(wǎng)絡(luò)流量。要想有效地做好這項工作，關(guān)鍵在于要了解常見的威脅以及如何克服這些威脅。下面將介紹企業(yè)可能遇到的三個常見問題以及解決它們所需要的工具。

解密HTTPS流量

超文本安全傳輸協(xié)議（HTTPS）原本是一種確保安全在線通信的協(xié)議，如今卻已經(jīng)成為了惡意軟件隱藏其惡意活動的一種工具。通過偽裝受感染設(shè)備與指揮和控制（C&C）服務(wù)器之間的數(shù)據(jù)交換，惡意軟件就可以在不被發(fā)覺的情況下運行，往外泄露敏感數(shù)據(jù)，安裝額外的攻擊載荷，并接收來自攻擊者團伙的指令。

然而，如果有合適的工具，解密HTTPS流量就輕而易舉。為此，我們可以使用中間人（MITM）代理，MITM代理充當(dāng)了客戶機與服務(wù)器之間的中介，可以攔截兩者之間傳輸?shù)男畔ⅰ?/p>

MITM代理幫助分析人員實時監(jiān)控惡意軟件的網(wǎng)絡(luò)流量，以便他們清楚地了解惡意活動。除此之外，分析人員還可以訪問請求和響應(yīng)數(shù)據(jù)包的內(nèi)容、IP以及URL，以查看惡意軟件通信的詳細信息，并識別竊取的數(shù)據(jù)，這種工具對于提取惡意軟件使用的SSL密鑰特別有用。

圖1. ANY.RUN沙箱提供的有關(guān)AxileStealer的信息

在這個例子中，初始文件（大小為237.06 KB）投放AxilStealer的可執(zhí)行文件（大小為129.54 KB）。作為一種典型的信息竊取器，它獲得了訪問存儲在網(wǎng)絡(luò)瀏覽器中的密碼的權(quán)限，開始通過Telegram消息傳遞連接將密碼傳輸給攻擊者。

規(guī)則“STEALER [ANY.RUN] Attempt to exfiltrate via Telegram”（STEALER [ANY.RUN]企圖通過Telegram往外泄露）表明了惡意活動。由于MITM代理功能，惡意軟件的流量已被解密，揭露了這個事件的更多細節(jié)。

發(fā)現(xiàn)惡意軟件家族

識別惡意軟件家族是任何網(wǎng)絡(luò)調(diào)查工作的一個關(guān)鍵部分。Yara規(guī)則和Suricata規(guī)則是用于這項任務(wù)的兩種常用工具，但在處理服務(wù)器不再活躍的惡意軟件樣本時，它們的有效性卻可能受到限制。

FakeNET為此提供了一個解決方案，即創(chuàng)建一條虛假的服務(wù)器連接來響應(yīng)惡意軟件請求，誘騙惡意軟件發(fā)送請求可以觸發(fā)Suricata規(guī)則或YARA規(guī)則，該規(guī)則可以準確識別惡意軟件家族。

圖2. ANY.RUN沙箱檢測到的非活躍服務(wù)器

在分析該樣本時，沙箱指出了惡意軟件的服務(wù)器沒有響應(yīng)這個事實。

圖3. 使用FakeNET識別出來的Smoke Loader惡意軟件

然而，在啟用FakeNET功能后，該惡意軟件立即向虛假的服務(wù)器發(fā)送請求，觸發(fā)識別出它是Smoke Loader的網(wǎng)絡(luò)規(guī)則。

捕捉針對特定地區(qū)的隱蔽性惡意軟件

許多攻擊和網(wǎng)絡(luò)釣魚活動將目光重點投向特定的地區(qū)或國家。隨后，它們結(jié)合IP地理位置、語言檢測或網(wǎng)站屏蔽等機制，這些機制可能會限制分析人員檢測它們的能力。

除了針對特定地區(qū)外，惡意軟件團伙還可能利用一些技術(shù)來逃避沙箱環(huán)境中的分析活動。一種常見的方法是驗證系統(tǒng)是否正在使用數(shù)據(jù)中心IP地址。一旦予以證實，惡意軟件就停止執(zhí)行。

為了克服這些障礙，分析人員使用了住宅代理。這種出色工具的工作原理是，將分析人員的設(shè)備或虛擬機的IP地址換成來自世界不同地區(qū)的普通用戶的住宅IP。

這項功能使專業(yè)人員能夠通過模仿本地用戶來繞過地理限制，并在不暴露其沙箱環(huán)境的情況下研究惡意活動。

圖4. 使用FakeNET識別出來的Smoke Loader惡意軟件

在這里，一旦主機IP地址被上傳到了沙箱，Xworm就立即核查該IP地址。然而，由于虛擬機有一個住宅代理，惡意軟件繼續(xù)執(zhí)行，并連接到其指揮和控制服務(wù)器。