51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

基于API调用的恶意软件分析技术

作者:shan66
安全
根据上一个季度的统计数据发现,使用加壳器、加密器和保护器(这些都是用于对恶意软件进行混淆处理,以防止被系统或安全软件识别出来的方法)的恶意软件的数量正在日益增加。

[[208624]]

基于API的分析技术

根据上一个季度的统计数据发现,使用加壳器、加密器和保护器(这些都是用于对恶意软件进行混淆处理,以防止被系统或安全软件识别出来的方法)的恶意软件的数量正在日益增加。这些加壳器极大的提高了进行静态分析的难度,甚至有些时候根本就无法对其进行静态分析。随着越来多的恶意软越件作者开始采用这些保护性措施,安全分析人员对于恶意软件分析替代技术的兴趣也越来越浓。

其中一种可行的替代方法就是,对代码中通知系统执行某些操作的API调用或命令进行安全检测。这种方法的好处是,不必对经过加壳处理的软件进行逆向分析,相反,我们可以通过对API调用进行动态分析,从而弄清楚某个文件的具体行为。通过分析相应的API调用,我们可以确定文件是否是恶意的,因为对于某些类型的恶意软件来说,它们的API调用是非常有特点的。例如,典型的下载API是URLDownloadToFile。而GetWindowDC这个API通常用于屏幕抓取,它经常出现在间谍软件和键盘记录器中。

下面,我们通过一个具体的例子来说明其工作原理。

木马样本

我们的示例是一个著名木马程序,名称为1.exe,其SHA256为0213b36ee85a301b88c26e180f821104d5371410ab4390803eaa39fac1553c4c。

由于该文件(使用VMProtect)进行了加壳处理,所以面对这种情况,反汇编器通常也是狗咬刺猬——无处下口。由于本人并非逆向分析的专家,所以我另辟蹊径,通过查看该文件在沙箱执行期间使用的API调用来搞清楚该文件的所作所为。

这是我们通过沙箱(Deepviz)获得的调用列表:

首先,我们来看看这些函数分别是做什么的。以下内容都是引自Microsoft的相关文档:

GetModuleHandle函数

检索指定模块的模块句柄。被检索的模块必须是由调用进程加载的。GetModuleHandleA(ANSI)

GetProcAddress函数

检索从指定的动态链接库(DLL)导出的函数或变量的地址。

_wtoi

将字符串转换为整数。

CreateStreamOnHGlobal函数

该函数可以用来创建一个使用HGLOBAL内存句柄存储流内容的流对象。该对象是IStream接口的OLE实现。

StrStr函数

查找指定子字符串第一次出现在字符串中的位置。该函数区分大小写。StrStrA(ANSI)

wsprintf函数

将格式化数据写入指定的缓冲区。所有的参数,都会根据格式字符串中的相应的格式规范进行转换,并复制到输出缓冲区。wsprintfA(ANSI)

WinHttpOpen函数

对于应用程序来说,这个函数可以初始化WinHTTP函数并返回WinHTTP会话句柄。

GetModuleFileName函数

检索包含指定模块的文件的标准路径。该模块必须是由当前进程加载的。GetModuleFileNameW(Unicode)

LoadLibrary函数

将指定的模块加载到调用进程的地址空间中。这个指定的模块可能会导致其他模块被加载。LoadLibraryA(ANSI)

LocalAlloc函数

从堆中分配指定的字节数。

LocalFree函数

释放指定的本地内存对象并使其句柄无效。

GetModuleFileName函数

检索包含指定模块的文件的标准路径。该模块必须是由当前进程加载的。GetModuleFileNameA(ANSI)

ExitProcess函数

结束调用进程及其所有线程。

关键恶意指标

并不是上面显示的所有函数都能表明可执行文件的性质。但是API WinHttpOpen却能告诉我们,我们可以向特定的方面考虑。

对于这个函数,我们使用Kahu Security的URL Revealer来检查流量的目的地,并发现两个经常出现的URL。

  1. GET http://twitter.com/pidoras6 
  2. POST http://www.virustotal.com/vtapi/v2/file/scan 

这个POST是当您要提交扫描文件时,VirusTotal API接受的内容。

这个指向被废弃的Twitter句柄的链接让人非常迷惑,我决定在Twitter中使用高级搜索,确定这是个早已被删除的Tweet的链接。

这个Tweet的内容是一个base64编码的链接:https://w0rm.in/join/join.php。不幸的是,该网站已经无法解析,但它曾经是一个地下黑市,同时提供网站exploit与黑客服务,上面提到的Twitter个人资料在当时还未被删。

看来上面这条路是走不通了。因此,我们尝试了另一种方法,弄清楚它想要在VirusTotal上扫描的东西,并使用Wireshark来检测数据包。

在数据包中,您可以看到用于在VirusTotal站点扫描文件的API key和文件名。根据这个API调用和数据包进行重建后,我们发现恶意软件将其自身的副本提交给VirusTotal,这是Vflooder系列木马的典型行为。Vflooder是一种特殊的Flooder木马程序。Flooder木马旨在向特定目标发送大量信息,以破坏目标的正常运行。但是,我怀疑它甚至用于对VirusTotal发动攻击。或者与Twitter上的那个链接有关。

Vflooder木马只是分析API调用的一个简单的小例子。但是事情并非总是这么轻松:我们甚至看到某些恶意软件已经开始故意增加冗余/无用的API调用了,目的就是为了对执行流程进行混淆处理。不过,分析API调用确实是一种检测恶意软件隐藏自身行为的有效方法。但是别忘了,攻击者对这些也是心知肚明的。

责任编辑:武晓燕 来源: blog.malwarebytes.com
API恶意软件
相关推荐
恶意软件反调试分析对抗技术
在本文中,我们会介绍恶意软件如何利用一个打包的Exe原始入口点来欺骗结构化异常处理程序(SEH)。

2019-01-09 08:16:31

基于神经网络恶意软件检测分析
对于目前的所有行业来说,“如何有效地检测恶意软件”已经成为了大家共同的网络安全问题,而使用机器学习来对恶意软件的原始字节序列进行分析和识别并以此来进行恶意软件监测,将会是机器学习社区中一个富有前景的研究领域。

2017-12-14 21:17:24

技术分享-SSnatchLoader恶意软件更新分析
SnatchLoader是一种“downloader”类型的恶意软件专门用于将恶意软件分发(或加载)到受感染的计算机系统上。

2017-11-06 12:10:35

如何利用基于沙箱来分析恶意软件
为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块。在文件或链接传输到用户之前,基于云的沙箱会先在安全环境中检查潜在恶意文件或链接,并执行文件并查看其尝试执行的操作。

2017-07-17 06:46:06

恶意软件常用感染技术
本文将为读者深入介绍恶意软件最常见的传播技术,其中包括网络内部传播技术和网络间传播技术。

2017-01-17 16:01:13

如何使用UnhookMe分析恶意软件中未受监控系统调用问题
UnhookMe是一款通用的WindowsAPI动态解析工具,可以帮助广大研究人员分析和处理恶意软件中未受监控的系统调用问题。

2021-09-15 18:30:45

UnhookMe恶意软件安全工具
恶意软件图像自动分析
桌面图标和其他各种各样的图形图像经常被恶意软件制造者们用来引诱用户。最经典的案例就是PDF图标被利用来诱使用户误以为是无害文档而放心打开恶意可执行程序。

2015-08-24 11:58:14

恶意软件分析工具——Pyew
Pyew是一款非常著名的命令行恶意软件分析工具,通常被用于深度代码分析或修改文件。支持PE、ELF、OLE2、PDF等格式,并且支持自定义插件添加更多的功能。

2013-08-12 15:44:44

Pyew恶意软件分析工具恶意软件分析
深度分析恶意软件Mumblehard
我们发现LinuxMumblehard的原因来自于某天某网管联系我们,他的服务器因为不断发送垃圾邮件被列入了黑名单。我们dump了服务器上其中一个奇怪进程的内存,这玩意连接到了一个不同的SMTP服务器,并发送垃圾邮件。

2015-05-06 11:22:30

恶意软件收集与初步分析
前面,我们为读者介绍了漏洞利用和逆向工程方面的基本技能,现在,我们将综合利用这些技术来探究恶意软件。作为道德黑客,有时我们需要在确保安全的情况下动手考察恶意软件,判断其危险性,并设法清除它。

2011-03-02 09:44:45

浅谈Android恶意软件技术演进
本文从近年Android恶意软件发展、恶意行为、技术演进等角度进行了阐述,并对三个典型的Android恶意软件样本进行了分析。

2022-11-03 12:06:41

如何改善基于Web恶意软件检测
攻击者已经成功地研究出可以避免先进的反恶意软件检测的恶意软件,特别是基于Web的恶意软件防御。本文将介绍一些恶意软件检测替代品。

2013-10-29 15:17:41

基于网络恶意软件检测部署关键
恶意软件变体的疯狂增长给端点安全带来了巨大挑战。本文我们将讨论如何成功地串联部署基于网络的恶意软件检测,包括如何管理和配置这些系统来避免影响应用基础设施的最佳做法。

2013-10-22 10:27:59

如何利用安全分析技术来检测高级恶意软件?
本文我们将讨论检测和防止当今恶意软件、高级持续威胁(APT)、零日漏洞等所需要的不同类型的产品,并探讨如何将数据整合到安全分析技术中。

2014-02-24 09:13:49

如何用ChatGPT分析恶意软件
本文将向您介绍ChatGPT被用来协助恶意软件分析师执行的三项典型AI任务。

2023-12-12 09:00:00

选择最佳反恶意软件技术因素
为了选出最佳反恶意软件,你必须了解威胁、如何检测威胁以及相关产品如何修复感染。反恶意软件早已不再是简单的签名匹配,现在的反恶意软件添加了很多新的检测技术来确定软件程序是否为恶意以及是否可以在设备上执行。

2013-05-22 09:35:17

利用ZeroWine进行恶意软件行为分析
ZeroWine是一个开源的(GPLv2)研究项目,用来对恶意软件的行为进行动态分析。实际上,ZeroWine只是使用WINE在一个安全的虚拟沙箱(也就是在一个隔离的环境中)运行恶意软件来收集该程序调用的API的有关信息

2009-02-04 10:30:47

深入分析BundleBot新型恶意软件
通过对BundleBot几个月的监测,我们更深入地了解了它的攻击载体,以及它是如何滥用dotnetbundle(单文件)的,这种自包含格式可以完美绕过静态检测。这种特定的文件格式和多阶段攻击相结合,在几个月的时间里大肆传播。

2023-08-07 07:44:44

如何利用沙箱进行恶意软件分析
根据Malwarebytes的2022年威胁评估结果,2021年检测到4000万台Windows商用计算机的威胁。为了对抗和避免此类攻击,恶意软件分析必不可少。

2022-09-27 14:46:03

网络安全计算机恶意软件
目前看到最全恶意软件分析大合集
来自Github的开发贡献者rshipp,在其存储库中发表了《恶意软件分析大合集》,贴心的rshipp在2017年1月将这一系列同步了中文版,该合集是目前最全的针对恶意软件分析的内容。

2017-02-15 20:32:42

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服