利用ZeroWine進行惡意軟件行為分析
原創(chuàng)【51CTO.com 獨家特稿】Zero Wine是一個開源的(GPL v2)研究項目,用來對惡意軟件的行為進行動態(tài)分析。實際上,Zero Wine只是使用WINE在一個安全的虛擬沙箱(也就是在一個隔離的環(huán)境中)運行惡意軟件來收集該程序調用的API的有關信息。Wine使用調試環(huán)境變量WINEDEBUG來輸出惡意軟件調用過的API,當然也包括惡意軟件所傳遞的值。有了這些信息,惡意軟件的行為分析將變得非常輕松。
一、工作原理
Zero Wine是作為QEMU的虛擬機映像發(fā)行的,它帶有一個已安裝的Debian操作系統(tǒng)。這個虛擬機映像包括加載和分析惡意軟件并根據收集到的信息生成報告的軟件,該軟件位于/home/malware/zerowine。通過正確的命令行選項運行該虛擬機,可以使用一個基于web的圖形界面(一個使用Python語言編寫的CGI)來加載要分析的惡意軟件。
加載一個新的惡意軟件的時候,會將其復制到/tmp/vir/MD5_OF_THE_FILE目錄,以前創(chuàng)建的WINE環(huán)境會被刪除,并對一個備份系統(tǒng)進行解壓縮,該備份系統(tǒng)是/home/malware/backup/backup.tar.gz。加載后,會通過shell腳本malware_launcher.sh來執(zhí)行這個惡意軟件,此shell腳本存儲在/home/malware/bin文件夾中。
需要注意的是,當前系統(tǒng)不允許一次分析一個以上的惡意軟件,將來每當加載一個新的惡意軟件文件的時候,它會放入一個隊列以供今后分析之用,并且還將創(chuàng)建一個新的WINEPREFIX專門用于運行這個惡意軟件。
二、使用QEMU運行虛擬機
使用QEMU運行虛擬機時必須提供一些必要的參數,最重要的一個參數就是 -redir tcp:8000::8000。這個參數將本地8000端口重定向到該虛擬機的8000端口。當然,您可以改變這個端口,不過要注意,在基于Unix/Linux的系統(tǒng)中不應該在端口80上運行它,因為這要求root權限,這會帶來巨大的安全隱患:想像一下如果惡意軟件逃離虛擬機并掌控了您的實際系統(tǒng)后會怎樣。
當該虛擬機結束引導處理(基于Debian的操作系統(tǒng)的引導時間通常需要2分鐘左右)后,可以用您的瀏覽器導航至http://localhost:8000。您將看到如下所示的一個web頁面:
 |
| 圖1 |
現在可以通過該Web接口將測試文件(通常為PE格式)加載到虛擬機,指定超時時間,就可以讓Zero Wine分析該程序的行為了。稍等片刻,就會受到如下所示的報告摘要:
 |
| 圖2 |
三、相關報告的介紹
分析結束時,會出現一個帶有四個鏈接的報告摘要頁面,這些鏈接分別是“report”、“Strings”、“Headers”和“Signature”。關于這些報告我們將在下面進行分別介紹。
完整的報告
我們首先有介紹的是“Report”鏈接,這是由WINE生成的一份完整的原始跟蹤文件。 這個文件通常很大,并且也不太容易讀,因為其中包含了WINE本身調用的大量應用程序接口以及惡意軟件調用的應用程序接口,不過它對于全面理解程序到底做了些什么卻是很有幫助的。以下是病毒MyTob的一個示例報告,我們看到這的確很長,并且讀起來很晦澀:
 |
| 圖3 |
一般說來,其中的大量API調用都是WINE的內部調用,這些對我們的分析工作沒有多大用處,并且對我們來說通常是枯燥無味的。請記住,雖然這些調用看上去很枯燥,但是卻可能對分析的惡意軟件的理解有所裨益。
關于字符串報告
Linux命令“strings”的輸出。為了便于了解惡意軟件,有時候您可以探索一些字符串、URL等等。以下是一個例子(MyTob):
 |
| 圖4 |
關于文件頭報告
這個報告展示了使用PEIdSignatures的特征碼找出的用于給該程序加殼的工具(如果有的話),以及利用開源的程序庫PEFile對給定PE程序分析得到的一份詳盡輸出。生成的報告類似于下圖:
 |
| 圖5 |
在本例中,頭部似乎是遭到了破壞,這說明惡意軟件試圖給反匯編制造困難。
關于特征碼報告
這個是當惡意軟件運行后,由Zero Wine生成的最有趣的報告 這個報告展示了最令人感興趣的API調用和值。下面的例子很容易理解:
 |
| 圖6 |
“Signature”報告告訴我們,該惡意軟件創(chuàng)建了互斥鎖“H-E-L-L-B-O-T”(進程標識符0009),并且將自身復制到 c:\windows\system32\msmgrxp.exe,然后,執(zhí)行了這個文件(process 0018)。惡意軟件的這個副本將檢查互斥鎖“H-E-L-L-B-O-T”,如果該互斥鎖業(yè)已存在,則將該二進制文件拷貝到c:\\funny_pic.scr及其它地方。
有了上面的這些報告,編寫一份簡單的行為報告已經不成問題。
四、加殼軟件
總的說來,Zero Wine能夠較好地運行惡意軟件,然而,當它遇到加殼軟件時就會出現各種問題,例如wine幾乎總是無法對付被Armadillo 加過殼的PE程序;并且,有時候“Report”和“Signature”這兩個部分會同時收不到任何數據。好在“Headers”和“Strings”報告部分總能提供二進制文件(盡管不是惡意軟件的行為)的有關信息。
五、對于Zero Wine的檢測
對于WINE 環(huán)境的檢測其實很簡單。例如,可以通過注冊表項HKLM\Software\Wine或者HKCU\Software\Wine來檢測它。同時還可以檢查所有的Windows關鍵系統(tǒng)文件的文件大小來進行檢測。當運行在WINE中的時候,這些文件會小得令人難以置信,但是同樣的文件在實際的Windows系統(tǒng)中卻具有碩大的身軀。另外一種“高級”檢測技術是,打開任意一個關鍵的Windows系統(tǒng)文件,并反編譯入口點。當運行在WINE中的時候,反編譯后將得到如下所示的一些簡單指令:
.text:10001000 public start
.text:10001000 start proc near
.text:10001000 mov eax, 1
.text:10001005 retn 4
.text:10001005 start endp
對于比較懶惰的人來說,只需在.text:10001000中搜索二進制串B8 01 00 00 00 C2 04 00就可以了。
六、使用Zero Wine的危險性
首先請記住,在自己的計算機上運行惡意軟件絕不是一個好主意。如果可能的話,要盡量將虛擬機(或物理機器)與現實世界隔離開來。有時候,我們迫不得已允許惡意軟件連接現實世界,但請記住,這樣做可能傷及無辜。更重要的是,您還必須記住,即使把WINE的沙箱配置成只能使用C盤,但是對于一個能夠逸出WINE沙箱的惡意軟件來說,它不僅能夠跑到C盤之外,還能夠波及您的物理計算機以及整個網絡。
七、結束語
Zero Wine是一個開源的(GPL v2)研究項目,用來對惡意軟件的行為進行動態(tài)分析。Zero Wine只是使用WINE在一個安全的虛擬沙箱(也就是在一個隔離的環(huán)境中)運行惡意軟件來收集該程序調用的API的有關信息。Wine使用調試環(huán)境變量WINEDEBUG來輸出惡意軟件調用過的API,當然也包括惡意軟件所傳遞的值。有了這些信息,惡意軟件的行為分析將變得非常輕松。
本文詳細介紹了Zero Wine的工作原理以及使用方法,并對Zero Wine生成的報告進行了相應的解釋,最后介紹了在使用Zero Wine過程中需要注意的問題,希望本文對您的工作學習能夠有所幫助。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
