– 作者:深信服千里目安全实验室

概述

近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。图片[1]-– 作者:深信服千里目安全实验室-安全小百科

工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。图片[2]-– 作者:深信服千里目安全实验室-安全小百科

安装

使用命令:git clone –recurse-submodules https://github.com/fireeye/capa.git下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测规则。图片[3]-– 作者:深信服千里目安全实验室-安全小百科

下载好后,使用命令:pip install -e [path_to_capa]进行安装,安装好后,就能开始使用Capa了。

范例演示

下面主要介绍其IDA插件的使用,IDA打开样本后,点击File->Script File加载ida_capa_explorer.py脚本。

PS:该插件目前只适配于IDA7.2及以上版本。图片[4]-– 作者:深信服千里目安全实验室-安全小百科

本次实验使用的是BuleHero蠕虫样本(0F606E3FC83F7E8B175DDCAA39517CDD),样本加载成功后,IDA会新增一个capa explorer窗口,该窗口会显示匹配上的规则,鼠标移到上面可以看到规则的内容。图片[5]-– 作者:深信服千里目安全实验室-安全小百科

双击规则的Address的值,IDA会自动跳转到恶意代码相应的位置,如下,通过contain an embedded PE file规则,快速地定位到了样本中内嵌的PE文件。图片[6]-– 作者:深信服千里目安全实验室-安全小百科

勾上规则后,IDA会高亮显示对应的恶意代码段,从而方便逆向工程师进行分析。图片[7]-– 作者:深信服千里目安全实验室-安全小百科

规则的编写格式如下,第一个红框meta用于描述该规则的描述信息,第二个红框features就是用于匹配的逻辑规则,类似于yara,支持的类型有:api、string、bytes、mnemonic等。图片[8]-– 作者:深信服千里目安全实验室-安全小百科

了解规则的编写规范后,试着编写一个规则进行练手,如下规则仅用于演示。

可以识别出Lazarus组织的Dtrack后门。

图片[9]-– 作者:深信服千里目安全实验室-安全小百科

将该规则dtrack.yal放到capa/rules目录下,加载样本B5AB935D750BE8B5B7C9CF3B87C772CA,插件就能自动识别出该样本为Dtrack后门。

图片[10]-– 作者:深信服千里目安全实验室-安全小百科

capa的大致原理就是,提取样本的导入函数、字符串、汇编码,然后循环遍历规则进行匹配,实质上就是将逆向时手工筛选高危恶意代码的工作自动化,当然,对于一些高度混淆后的样本,建议先解混淆后再使用capa进行分析。

图片[11]-– 作者:深信服千里目安全实验室-安全小百科

来源:freebuf.com 0000-00-00 00:00:00 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论