Flashmingo:SWF文件自动化分析工具 – 作者:secist

flashmingo是FireEye最新发布的一个用于自动分析SWF文件的框架。它可以自动对可疑的Flash文件进行分类,并进一步的指导分析过程。Flashmingo可作为独立的工具,也可以作为库的一部分集成到分析工作流中。

安装

安装requirements.txt文件中列出的Python (2.7)。

你可以使用以下命令进行安装:

pip install -r requirements.txt

如果要使用反编译功能,则需要安装Jython。Ubuntu/Debian用户可以使用下面的命令安装:

apt install jython

克隆该项目或下载zip文件。

目的

到目前为止,取证人员和恶意软件分析师仍必须对可疑的SWF文件进行处理。据悉,Adobe Flash将于2020年被弃用,弃用后系统将继续支持不再使用安全补丁更新的旧文件格式。而自动化是解决该问题的最佳方式,这也是FLASHMINGO可以为你提供帮助的地方。FLASHMINGO是一个用于自动处理SWF文件的分析框架,使分析人员能够以最小的努力对可疑的Flash样本进行分类并进一步调查。此外,用户还可通过自定义Python插件来轻松扩展其功能。

架构

FLASHMINGO的设计考虑了简洁性。它读取SWF文件并创建表示其内容和结构的对象(SWFObject)。然后,FLASHMINGO运行一系列插件作用于SWFObject对象,并将其值返回到主程序。

以下是ASCII流程图:

                               +----------+
                                                 |          |
                       +------------+----------->+ PLUGIN 1 +------------+
                       |            |            |          |            |
                       |            |            +----------+            |
                       |            |                                    |
                       |            |            +----------+            |
                       |            |            |          |            |
+---------+            |            +----------->+ PLUGIN 2 +--------+   |
|SWF FILE +----------->+ FLASHMINGO |            |          |        |   |
+---------+            |            |            +----------+        |   |
                       |            |                                |   |
                       |            |                                |   |
                       |            |                                |   |
                       |            |                          +-----v---v-+
                       |            |                          |           |
                       |            |                          |           |
                       +-----+------+------------------------->+ SWFOBJECT |
                             ^                                 |           |
                             |                                 |           |
                             |                                 +-----+-----+
                             |                                       |
                             |                                       |
                             |                                       |
                             +---------------------------------------+

在你自己的项目中使用FLASHMINGO作为库时,你只需处理两种类型的对象:

一个或多个SWFObject(s),代表样本。

一个Flashmingo对象。主要用作连接插件和SWFObject的线束(harness)。

插件

FLASHMINGO插件存储在它们自己的目录下…你猜对了:插件当Flashmingo对象被实例化时,它会遍历这个目录并处理所有插件的清单(manifests)。如果插件处于启用状态,则会注册该插件以供后续使用。在代码级别,这意味着将一个小的plugin_info字典添加到插件列表中。

通过run_plugin API的两个参数调用插件:

插件的名称

SWFObject实例

(可选)大多数插件允许你传递自己的用户数据。默认插件SuspiciousNames将在所有常量池中,搜索包含可疑字符串(例如:’overflow’,’spray’,’shell’等)的文件。插件中已包含了一个硬编码的常见字符串列表。但你也可以传递自己定义的字符串列表,在本例中为names参数。

代码示例:

fm = Flashmingo()
print fm.run_plugin('DangerousAPIs', swf=swf)
print fm.run_plugin('SuspiciousNames', swf=swf, names=['spooky'])

默认插件

FLASHMINGO还附带了其他一些非常实用的插件:

binary_data

dangerous_apis

decompiler

suspicious_constants

suspicious_loops

suspicious_names

template 🙂

扩展 FLASHMINGO

为便于开发,flashmingo还为我们提供了一个模板插件。扩展flashmingo非常简单,遵循以下步骤即可:

复制模板

编辑清单

覆盖run方法

添加自定义代码

FLASHMINGO 作为库

API

有关自动生成的文档,请参阅docs目录

有关示例,请参阅FireEye的博客文章

前端

Console

创建文档

$ pip install sphinxcontrib-napoleon

设置Sphinx构建文档后,在Sphinx conf.py文件中启用napoleon:

在conf.py中,将napoleon添加到extensions列表中

extensions = ['sphinxcontrib.napoleon']

使用sphinx-apidoc构建你的API文档:

$ sphinx-apidoc -f -o docs/source projectdir

这将创建.rst文件供Sphinx处理

$ make html

*参考来源:GitHub,FB小编secist编译,转载请注明来自FreeBuf.COM

来源:freebuf.com 2019-04-29 01:00:16 by: secist

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论