游蛇木马样本的分析与标注实战——MAE免费版发布絮语之三

MAE免费版发布的几月来，不少网友已经开始用它分析手头的恶意样本，QQ群（347510083）中热心网友，陆续反馈了一些使用过程中遇到的问题，包括提了界面优化的建议。这些反馈让团队很受鼓舞，坚定了把MAE打磨得更实用的决心。

有网友直言想拿MAE彻底替代IDA Pro，这份认可我们记在心里，既感动又倍感责任。但这里还是要再郑重强调一次：MAE的定位不是传统意义的逆向分析工具，而是按照威胁分析视角提供给安全工程师提供的“工作台”，通过串联样本解析、向量提取标注、特征生成、威胁判定等全流程工作，提升分析效率。

这次，安天CERT就以游蛇（银狐）远控木马的分析过程为具体案例，一步步拆解MAE是如何为分析人员减负赋能，助力大家高效完成恶意样本全链路分析工作的。

游蛇木马是FaaS(诈骗即服务)攻击组织的常用恶意代码工具，具有远程控制能力，具备文件窃取、屏幕监控、远程指令执行等多种恶意能力，其变种被攻击者植入大量节点。安天在2022年下半年发现和分析游蛇组织的早期活动，包括伪装成常用软件下载站、进行搜索引擎SEO投毒以及大量发送钓鱼邮件等方式实施投放。在载荷执行阶段，其常使用“白加黑”方式执行，并通过即时通讯软件（微信、企业微信等）进一步扩散。安天至今持续跟踪游蛇钓鱼网站以及恶意样本，已经先后发布19篇公开报告披露游蛇组织的行为。我们选取的这个游蛇样本，日常威胁监测中捕获的，由于攻击者没有进行加密加壳等免杀，很适合用来演示MAE的基础分析流程。

安全贴士：分析恶意代码样本要高度注意环境安全，应在没有个人和企业数据的虚拟环境中分析，将样本扩展名修订为“.vir”等不具备点击关联执行能力的扩展名，将存放目录，去掉“可执行”属性再打开分析。



MAE的游蛇样本分析实战


➢ 基础信息提取识别

在打开分析样本后，先看分析界面底部的ATT&CK窗口，了解样本技战术特点。MAE会自动标注ATT&CK，但并不完整。在大致了解ATT&CK技战术之后，分析人员的第一步通常是查看它的基本信息。在MAE中，点击“打开文件”导入游蛇远控样本后，界面会直接展示样本基础信息面板。虽然免费版裁剪掉了与赛博超脑的联动，没法直接获取云端的威胁情报，但保留的PE分析功能足够满足基础需求——我们能一眼看到样本的文件MD5、大小、文件类型、编译器信息，还有是否加壳。


图1 MAE样本基本信息显示界面

这个游蛇样本没有加壳，而其最鲜明的特征就是导出表中以“VFPower”命名，这也是游蛇远控家族的典型标识之一。在MAE的PE详情模块中，导出表列表清晰罗列所有导出项，分析人员无需额外打开PE分析工具，就能快速通过这一特征完成样本的家族归系，为后续精准分析定好方向，这也是分析游蛇样本的重要入手点。


图2 MAE导出表信息界面

➢ 自动化特征判定

MAE集成了很多开源的YARA规则来帮助我们自动化分析样本使用了哪些加密算法，这个功能放在了自动化特征判定模块，可以识别DES、AES、RSA、CRC32、MD5、SHA1、SHA512等加密/散列校验等算法。这不只是对恶意代码本身的代码、指令加密功能有很好辅助作用，在分析勒索攻击样本使用何种加密算法时也很有用。


图3 MAE可识别常见加密算法

➢ 恶意行为标注

自动化特征判定窗口列出样本的“恶意行为”，从这些标注好的行为入手，分析样本功能会容易很多。需要说明的是，当MAE加载正常文件时，可能同样也会看到恶意行为标注。这是因为绝大多数“恶意行为”本身都是对系统和应用的接口的调用，和正常调用很多没有本质区别。多数系统和应用不存在“恶意API”，MAE所标注内容，相对只是在攻击样本中更为高频出现的API或API调用方式。主要是帮助分析人员初步判断样本的性质，甚至恶意代码的类型、家族等。

图4 MAE的恶意行为自动标注功能

➢ 完成关键字符串筛选

对于游蛇这类远控木马，C2服务器地址是核心分析目标，有些样本我们无需在海量代码中逐行查找，只需查看字符串参考列表即可快速筛选出关键字符串，新版本的MAE在字符串入口支持正则表达式，只需输入关键表达式“/\d+\.\d+\.\d+\.\d+”，即可快速找出C2地址。更便捷的是，字符串参考列表与反汇编、伪代码区深度联动，双击任意一条字符串，右侧的反汇编、伪代码显示区会立即跳转至该字符串在代码中的引用位置，分析人员能直接查看该字符串的调用逻辑，快速确认是否为真实的C2地址、特征串等关键信息，省去了手动查找字符串引用的繁琐操作。


图5 通过字符串正则表达式功能快速发现C2地址

➢ 恶意行为快速定位

MAE在自动完成分析后，会生成一个清晰的“恶意行为”清单（如“创建线程”、“设置文件属性”、“DNS通信、C2通信”等）。分析员无需从程序入口点开始，而是直接从这个清单入手，从自己最关心的恶意行为点击跳转，瞬间就能定位到实现该行为的具体代码地址。


图6 快递定位C2通信相关代码

基础信息我们查看完了之后，会对样本有了大致的判断，下面就要对样本进行深度静态分析了，可通过关键字符串、API、导出表等地方双击跳转到关键位置，验证并查看样本的具体功能。

➢ 分析下载远控木马组件行为

通过筛选字符串发现了可疑的IP地址202.95.16.100，我们双击字符串定位到了反汇编和伪代码处，分析代码发现该样本会连接C2服务器202.95.16.100:18852下载其他组件。


图7 MAE定位下载其他组件的代码

➢ 添加标签和编辑注释

此时，针对定位到的C2通信代码、“VFPower”相关调用代码等核心位置，MAE的代码标签与注释功能就能发挥重要作用——在反汇编代码行右键，即可选择“添加标签”和“编辑注释”，可为关键代码位置添加自定义标签（如“游蛇C2地址读取逻辑”“VFPower导出项调用点”），也可在注释区详细记录代码逻辑、分析要点等内容。这些标签会以醒目样式显示在代码行前，注释会直接附在对应代码行旁，且所有标签和注释会随样本分析工程一并保存，后续重新打开该样本时，所有标记信息都会完整呈现，彻底解决了分析过程中关键位置易遗忘、分析思路易中断的问题，尤其适合复杂样本的长期分析和团队协作。经过长期分析工作，分析者就能建立自己的标签、标注库。


图8 MAE添加标签和编辑注释功能

➢ 分析样本创建计划任务行为

深度分析发现样本会创建两个计划任务分别登录执行载荷进行shellcode加载，以实现持久化。


图9 MAE分析样本创建计划任务

➢ 分析规避安全软件行为

通过检索常见安全软件进程名，可以定位到游蛇样本的遍历进程，其检测如下安全软件进程名，结束当前表中存在的进程。


图10 MAE分析所规避的安全软件清单

➢ 分析收集信息下载Winos远控木马

同样通过搜索常见IM进程名，可以发现样本收集大量系统、用户、已安装应用及权限相关信息，并对系统中是否运行特定即时通讯进程（WeChat（微信）、DingTalk（钉钉）、Telegram、WhatsApp等）进行检测。


图11  MAE分析收集样本针对哪些应用采集信息

➢ 第三方工具配置和扩展运用

如果想使用其他分析工具进行关联比对，例如使用IDA Pro，就可以在MAE的“外部工具”菜单里配置好x64dbg。

在配置好后，直接点击菜单“运行外部工具”选择x64dbg，MAE会自动把当前分析样本的文件名传递给IDA Pro调试器，不用我们手动在调试器里重新选择文件。这种“无缝衔接”的操作，能让分析人员保持分析思路的连贯性，不用被工具切换打断节奏。

如果想进一步观察样本运行时的行为，比如确认它连接的C2服务器是否真实存在、运行后会创建哪些文件，也可以下载安天行为显微镜（Action Scope）作为扩展工具 。

https://bbs.antiy.cn/forum.php?mod=forumdisplay&fid=114
➢ 关键特征提取

MAE的重要功能是特征提取生成。恶意代码特征的提取讲究精准，既要能覆盖同家族的样本，又要避免误报正常文件。在MAE中，针对游蛇样本，我们可以基于前面定位到的关键逻辑，比如它特有的互斥量名称、C2通信的特征字符串，来生成YARA规则。选中C2通信特征反汇编代码段，点击“生成特征”按钮，MAE会弹出规则编辑窗口。我们把选取的特征串填入，设置好匹配条件，就能快速生成一条针对游蛇远控的YARA规则。这个版本支持自动调用手工提取的特征检测当前样本，并在“本地特征检测”呈现。也可以用来生成专杀工具和排查工具，扫描其他机器文件，排查是否存在同家族的其他样本。

图12 关键位置可自定义快速生成特征

➢ 生成专杀工具

这里要提一句，安天内部版的MAE能基于提取的特征直接生成可执行的专杀工具和排查工具，但免费版考虑到可能被滥用的安全风险，把这个功能裁剪掉了。后续的科研版会根据实际需求，评估是否开放相关能力。安天针对游蛇有免费开放的排查工具可以下载（https://vs2.antiy.cn/），游蛇专项排查工具可用于排查游蛇黑产团伙在攻击活动中投放的加载器和加载至内存中的远控木马。

图13 排查工具下载页面


图14 游蛇专杀工具识别到内存中的远控木马

➢ ATT&CK战术标注功能

对于威胁分析工作来说，技战术标注是提升分析报告价值的重要环节。游蛇远控作为典型的远控木马，其恶意行为对应着ATT&CK框架中的多个战术技术。在MAE出现之前，分析人员需要手动对照ATT&CK框架，逐条标注样本的技战术，工作量很大。但在MAE里，这个过程被大大简化了。点击“技战术标注”按钮，系统会根据之前识别的恶意行为，自动匹配对应的ATT&CK战术技术。比如，游蛇样本修改注册表实现开机自启，对应“持久化（TA0003）”战术下的“利用注册表启动（T1547.001）”技术；它的远程C2通信行为，对应“命令与控制（TA0011）”战术下的“使用应用层协议（T1071）”技术。自动标注完成后，分析人员只需要根据实际情况，对少数标注进行微调，就能生成一份完整的ATT&CK技战术映射图谱。这份图谱能直观展现样本的攻击能力，让分析报告不再只是枯燥的代码逻辑描述。


图15 自动化生成ATT&CK战术技术

➢ 报告模板生成

完成相关工作后，可以撰写分析报告了。在MAE中，按下快捷键Ctrl+9，就能激活报告撰写界面，和自用版相比，免费版的报告功能少了云端自动生成的威胁情报内容，也暂时无法调度澜砥模型进行内容生成，但基础框架依然完整——样本的基本信息、恶意行为标注结果、ATT&CK技战术图谱，会自动填充到报告模板中。分析人员只需要补充一些关键逻辑的描述、动态分析的结果，就能快速完成报告初稿。点击“导出Word”，就能得到一份格式规范的分析报告纲要，后续再根据需求补充人工内容和其他参考资料即可。


图16 MAE自动生成报告模板

通过以上实战分析，大家可以看到MAE的价值特点：通过流程工序固化、功能联动、自动化信息提取和标注等，帮分析人员省去了繁琐的重复性工作，让大家能把更多精力放在理解样本的恶意逻辑、挖掘威胁价值上。

当然，现在的MAE免费版还有很多不足。比如，因为功能裁剪，部分界面的逻辑还不够顺畅；自动标注的准确率还有提升空间；团队协作分析的功能也没能在免费版中实现。但正如柏松同志之前所说，这个版本只是一个起点。

对于我国的网络安全产业和网安工作者来说，当IDA Pro等工具已经面向国防七院校和受美制裁企业禁售，当面对分析工具的供应链投毒问题已经多次发生，拥有自主可控的威胁分析工具就成了必然需求。MAE的迭代改进，承载的正是安天在技术自主性上的坚持。而对大模型时代，特别是马斯克所讲的AI将跳过编码，直接生成二进制可执行程序的时代，安天坚持构建面向二进制的分析能力、工具环境和标注体系，有非常重要的意义。



我们诚挚地欢迎更多业内同仁、高校师生下载试用MAE，把遇到的问题、想到的建议都反馈给我们。你的每一条意见，都是MAE变得更好的动力。

让分析，始于样本，而超越样本；让经验，源于个体，而叠加于团队——这是我们做MAE的初心，也希望能和所有网络安全从业者一起，朝着这个目标走下去。