下载最小安装包:
install.zip
(931.45 KB, 下载次数: 765)
使用说明
1. 浏览到样本 2. 浏览到打开方式 3. 点击分析按钮
ActionScope 行为列表
这个页面展示了安天剑最主要的界面,就是动态行为鉴定。
在软件运行的过程中,获取软件的各种系统调用,拿过来通过鉴定器进行鉴定,给出行为输出。
第一列,ID就是序号,行为发生的顺序
第二列,行为的名称CNName,这个其实也是为了支持多语言版保留的,后面有个markdown文件,替换之后,就是别的语言了。
第三列,是细节,比如它传入了哪些参数,操作了哪个注册表,写入了那些文件等等,都可以显示
第四列,是危险级别,显然堆喷的危险级别,高于其他的危险级别,因为它牵扯到了漏洞利用,有可能是0day,所以显示level5,其他等级会低一些。
第五列,是返回地址,就是从哪里调用这个行为,而堆喷呢,就是发生堆喷的地址,如果有漏洞,就是漏洞发生的地址。后面还有,来自于哪个进程,哪个模块等等,用于进一步分析。
危险行为的追溯,shellCode的获取
再来关注一下moduleName这一列,这个表示危险行为来自哪个模块,但是,还有更多意义。通常情况下,正常的开发者写的代码,经过编译,肯定都是有模块的,要么是exe,要么是dll,对吧?
但是,那些漏洞利用,往往没有模块,因为它溢出来要执行的,要么在一个堆里头,要么在栈里头,是没有模块的,除非它大面积替换模块代码,对于替换模块代码的,后面会讲,先讲没有模块的。如果看不到模块,实际上这个调用就来自shellcode,有可能是漏洞利用,但是也不一定,因为有些软件壳,运行后,也会没有模块。此时可以根据前面一栏的地址,跟踪进去,比如方程式类型的,就不落地,就通过这种方式去拿shellcode,然后再进行分析,就可以设计出针对它的反病毒规则了。
另外动态的,获取它的模块,还有什么好处,就是能实时鉴定,它是不是被修改了,或整个被替换了,因为有些木马,静态你看不出来的,会加壳,花指令,各种变形,混淆,专门过杀软,免杀,静态扫不出个所以然来,但是一旦执行起来,就从人畜无害,化身十恶不赦,产生翻天覆地的变化,它能修改你的内存,比如带微软签名的,一般都会加入白名单,但是它在内存里被改了,批着白名单的外壳干坏事,此时,它请求一些敏感操作,如果放行,就会被感染。但是,由于我们拿到了这些模块地址,可以在运行期间,计算它的哈希值,然后和正常的哈希做比对,如果发现被改了,就警报。
未知漏洞检测,包括,堆喷,rop,shellcode,引擎载入了专门的,漏洞检测插件,下面介绍另外两种漏洞类型,rop和堆喷。
漏洞利用检测
不管已知漏洞,还是未知漏洞无关,只要出现了上述情况,就能检测到,包括0day。
具体的实施,专门写了个漏洞检测插件,箭头所指的dll,由钩子引擎带入,帮它挂钩,激活,开启线程,实时检测。
远程投放,衍生进程和文件
远程投放,就是在另一台机器上,去执行样本,将信息,实时传回本地,因为一个样本,如果要深入分析,就得在不同的环境下跑,看下各个版本的windows,各个版本的office,adobe系列,不同的版本会有不同的漏洞。而且反虚拟机的样本,在虚拟机上不会发作,当然我们也做了反反虚拟机的操作,但是挂一漏万,攻击面很大,总有想不到的,甚至只有在特定的环境下,才会发作,比如于震网病毒。这时候我们就可以部署一台真实环境,把样本发送过去,远程执行,让它发作,拿到病毒的真实行为。
旁边这个是衍生进程和衍生文件,就是它又创建了子进程,释放了哪些文件,调用了哪个驱动等等,都以树形结构,分层次的给你列出来。
Powershell样本分析,以及wmi反虚拟机对抗
Powershell分析,样本设置为powershell的脚本文件,打开方式,设置为打开脚本的exe。分析pdf,word,rar等文档类样本的方式也是如此。
这个powershell的样本调用了wmi,所以,在这里讲一下wmi的检测。
针对wmi,也是用了一个插件,wmi背后实际是com的机制,于是在它初始化com的时候,拿到wmi对象的地址,对一些成员函数做了挂钩,这就是引擎的厉害之处,不管是系统api,还是com,还是任何一个给定地址,它都可以挂钩,即使是函数内部,也可以挂钩,而且接口统一,无需关注原型,无需关注调用约定,参数,上下文托管。
所以,这些powershell脚本,每一次wmi的查询,执行的那些sql语句,都能拿的到。details那一列里面的内容,execquery,select * from xxx,类似sql语句的wmi的接口语法,调用参数,都拿到了,从而判断危险行为。
后面有个演示,可以看到,这个是做了反虚拟机的对抗。其实我电脑是个i5的cpu,这里却让它获取到的是i7的cpu,而虚拟机的呢,往往是带vm特征的硬件信息,这里全改了,品牌是惠普,都改成跟真的一样了。让样本认为,自己运行在真机中。
全局挂钩
全局挂钩的作用,勾上全局挂钩之后,可以直接双击运行样本,每个运行的样本自动注入分析引擎进行分析,无需设置打开方式,如果这些样本对打开它的软件,存在有漏洞利用,比方今年就爆出winrar存在漏洞,比如office,adobe的漏洞,这时候,你打开pdf,一旦漏洞被触发,就会被检测到。
网络服务配置
网络配置,也能体现模块化设计,每个模块都可以单独拿出来复用的,一般就是一个dll,个别的,外加配置文件,就可以复用了。
先看,日志系统,其实是深圳蜜罐的曹月写的,本来他们是只支持udp的,因为蜜罐考虑到,一些蠕虫,会感染tcp,怕扰乱数据,所以他们用了udp。后来我又增加了一个模块,用的和曹月的同样接口,只是内部用的tcp,你可以通过协议这个option选项,选择用哪个模块,tcp还是udp,接口一致,无缝切换。Tcp就更稳定一些,远距离,网络不好的情况下,不会丢包。
调度,关联到,衍生文件,衍生进程,通过调度去注入到新进程,对于衍生文件,就输出出来,调度和日志是并行的两个传输通道,日志用的是json,而调度就是普通的文本。其实调度通道又叫命令通道,当然也可以用于调试插件用,比如输出log之类的。
远程服务,就是前面说的远程投放,这个设计其实某种程度上奉行了一种极简主义。不分客户端服务端,直接复制过去,在远端,它就是服务端,安天剑本来也很小,完整安装包5-6M,最小安装包700多k,远端无需配置,本地只要设置了远程投放ip,远端会自动配置,你就可以直接发样本过去,就在远端运行了。然后传回数据,本地鉴定,远端也可以是虚拟机,感染了重置一下就能再次使用。
强制代理,强制代理做了一部分,但是已经可以接受数据和流量分析了,追影的同事用来调试自定义的传输协议,一些规划暂不透露。
流量分析
最左边,你可以自定义协议头部,然后右边,就可以根据指定的头部,去解析流量数据了。
而数据的显示格式,字段长度,也是可以指定的,这个是跟OD一样舒适的用户体验,想看什么一目了然。同样的数据,展现形式任意切换。
十六进制,十进制,字符串,Unicode,utf-8,直接从流量中帮你提取出来。
你可以看到上面那些utf8的字符串,真实的数据就是上下两幅中的那些数字,一个十六进制,一个十进制。
不多介绍了,到时候,自己去试吧。
应用市场-自定义鉴定器,无限扩展
应用市场,最主要的目的是提供自定义鉴定器接口,当你发现actionScope的鉴定规则不足,有些东西鉴定不到,而你清楚的知道有些规则可以起效,你就可以自己写鉴定器,actionScope发现不到的,通过你的鉴定器来发现,其中,老张之眼是我们的领导李柏松策划的一个自定义鉴定器,为了向程序员老张致敬,安装上之后,还附带了这个鉴定器的源码,用于帮你开发属于自己的鉴定器。另外还有一套钩子sdk的源码以及文档,点一下按钮,就下载安装了,后面详细介绍这些SDK。
钩子引擎SDK
该模板主要是为了解决:
1.追影虚拟机内的操作系统普遍缺乏vc运行库
2.开发人员往往忽视依赖问题,根据所引用的头文件,必须选择相应的.lib文件进行联编
3.运行库还得使用多线程进行编译,诸多选项每次都得配置一遍非常麻烦。
4.编译xp下的exe还要使用支持xp sdk的compiler
5.此外还要配置确保你的替换函数不被编译器优化,因为编译器优化时会认为你的函数修改参数等动作并没有实际用处而直接剔除,此外还有可能会破坏你的钩子函数体。
6.好的解决方案其实是建立vc项目模板,只要导入我的模板,什么都不需要设置,直接就帮你全部设置好了,如上图所示。
7.下载IHKSDK_plugin_Template.zip,请将该文件放在Documents\Visual Studio 2017\Templates\ProjectTemplates目录下,打开VC2017创建新项目即可看到,大大节约了开发时间成本。
崩溃转储
这也是钩子引擎的功能,有时候我们无法到客户现场去调试,这时崩溃转储文件就很重要,如果发生崩溃,就会生成一个转储文件,这个转储文件,可以直接拖进visualstudio中进行调试,当然windbg也是可以的,只是vs更强大一些。这张图,是崩溃现场快照,错误代码,线程,加载的模块,一目了然。
Windbg打开转储文件
这是用windbg打开转储文件的情况,崩溃现场,一目了然。
|
发表于 2020-1-3 12:57
发表于 2020-1-10 09:38
楼主
发表于 2020-10-16 23:42
