加载中…
个人资料
阿里云安全
阿里云安全 新浪机构认证
  • 博客等级:
  • 博客积分:0
  • 博客访问:487
  • 关注人气:50
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

Docker恶意软件分析系列III:用viper分析APK和木马信息

(2015-03-23 14:45:30)
标签:

it

网络安全

0x00 简介

本篇文章主要讲解利用Docker来分析malware样本,主要包括VT(virustotal)分析、APK分析、恶意软件样本分析、木马编译分析例如编译时间、编译语言等、另外我们还可以检测是否是已知的木马等等分析手段。

 

0x01 安装配置Docker恶意软件分析镜像

1.       安装

docker pull remnux/viper

 

2.       配置

mkdir -pv sample && cd sample && chmod a+xwr .

 

0x02 docker分析案例

1.       准备样本

把要分析的APK和木马样本放到sample目录下,准备来进行分析。

2.       挂载样本目录

docker run -it -v /root/sample:/home/nonroot/workdir remnux/viper

http://s5/mw690/004gr0JOgy6QVaTuPtO84&690

3.       帮助文档

http://s4/mw690/004gr0JOgy6QVaTwZOPb3&690

解释:

命令:

+------------+-----------------------------------------------+

| 命令      | 描述                                   |

+------------+-----------------------------------------------+

| clear      | 清除屏幕                             |

| close      | 关闭当前session                     |

| delete     | 删除打开的文件                        |

| exit, quit | 退出 Viper                                    |

| export     | 导出当前session到文件中或者zip     |

| find       | 寻找文件                                  |

| help       | 帮助                        |

| info       | 打开文件的信息           |

| notes      | 添加标签   |

| open       | 打开一个文件                                   |

| projects   | 列表或者选择存在的项目              |

| sessions   | 列表或者选择session                       |

| store      | 打开存储的文件 |

| tags       | 修改tags                |

+------------+-----------------------------------------------+

 

模块:

+--------------+---------------------------------------------------------------+

| 命令      | 描述|

+--------------+---------------------------------------------------------------+

| apk          | 解析安卓应用                                    |

| cuckoo       | 提交文件到Cuckoo沙箱  |

| debup        | 解析 McAfee BUP 文件   

| editdistance | 编辑distance                                |

| elf          | 提取ELF header                          |

| email        | 解析email邮件                                 |

| exif         | 提取 Exif MetaData                                         |

| fuzzy        | 搜索类似的恶意软件                |

| html         | 解析HTML                         |

| ida          | 运行 IDA Pro                                                 |

| idx          | 解析idx                                          |

| image        | 图片分析                                    |

| jar          | 解析jar                                       |

| office       | Office分析                                        |

| pdf          | 分析PDF                               |

| pe           | PE HEADER                         |

| r2           | 运行Radare2                                                 |

| rat          | 已知rat                   |

| reports      | 在线沙箱报告                                      |

| shellcode    | 搜索已知的SHELLCODE                           |

| strings      | 从文件中提取strings                                     |

| swf          | 解析、分析swf                   |

| virustotal   | VirusTotal查询                                 |

| vttool       | 查询VT样本

| xor          | 寻找xor 设置                                      |

| yara         | 运行yara扫描                               |

+--------------+---------------------------------------------------------------+

4.       加载样本

viper > store -f ./

http://s12/mw690/004gr0JOgy6QVaTyWN52b&690

5.       分析样本

viper > find all

http://s7/mw690/004gr0JOgy6QVaTAGISd6&690

解释:

a)       Mime是文件类型

b)       MD5就是文件的MD5

6.       分析恶意木马APK木马

a)       打开恶意木马

viper > open 5d94be747142f683dad9bae391df8ed9

http://s11/mw690/004gr0JOgy6QVaTDLOG3a&690

b)       利用virustotal分析

viper Mobile_Spy.apk > virustotal

http://s1/mw690/004gr0JOgy6QVaTFTMId0&690

c)       利用yara样本分析

查看yara样本库

viper update.exe > yara rules

http://s13/mw690/004gr0JOgy6QVaTIb5Wac&690

查看规则库

viper update.exe > yara rules --edit 2


http://s4/mw690/004gr0JOgy6QVaTXIVd23&690

Yara匹配扫描

viper update.exe > yara scan –a

参数解释:

扫描所有的样本匹配的内容

PS: (Yara我们会在以后详细讲解它的使用方式)

http://s8/mw690/004gr0JOgy6QVaU03Z557&690


 

d)       查看木马的编译时间

viper update.exe > pe compiletime

http://s5/mw690/004gr0JOgy6QVaU1X7u34&690

 

e)       检测木马的编译语言

viper update.exe > pe language

http://s14/mw690/004gr0JOgy6QVecRCGx7d&690

f)        检测木马编译信息

viper update.exe > pe peid

http://s5/mw690/004gr0JOgy6QVaU4XZO44&690

g)       检测木马Strings信息

 

viper update.exe > strings -a

http://s11/mw690/004gr0JOgy6QVaU7laO3a&690

h)       检测是否是已知木马

viper update.exe > rat -a

http://s13/mw690/004gr0JOgy6QVaU9iLqfc&690

 

0x03 参考

1.       http://www.decalage.info/en/scan_frameworks#Viper

2.       https://github.com/botherder/viper

3.       http://digital-forensics.sans.org/blog/2014/06/04/managing-and-exploring-malware-samples-with-viper

 

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有