新浪博客

Docker恶意软件分析系列III:用viper分析APK和木马信息

2015-03-23 14:45阅读:

http://blog.sina.cn/dpool/blog/u/3907390400

0x00 简介
本篇文章主要讲解利用Docker来分析malware样本,主要包括VT(virustotal)分析、APK分析、恶意软件样本分析、木马编译分析例如编译时间、编译语言等、另外我们还可以检测是否是已知的木马等等分析手段。

0x01 安装配置Docker恶意软件分析镜像
1. 安装
docker pull remnux/viper

2. 配置
mkdir -pv sample && cd sample && chmod a+xwr .
SPAN>
0x02 docker分析案例
1. 准备样本
把要分析的APK和木马样本放到sample目录下,准备来进行分析。
2. 挂载样本目录
docker run -it -v /root/sample:/home/nonroot/workdir remnux/viper
Docker恶意软件分析系列III:用viper分析APK和木马信息
3. 帮助文档
Docker恶意软件分析系列III:用viper分析APK和木马信息
解释:
命令:
+------------+-----------------------------------------------+
| 命令 | 描述 |
+------------+-----------------------------------------------+
| clear | 清除屏幕 |
| close | 关闭当前session |
| delete | 删除打开的文件 |
| exit, quit | 退出 Viper |
| export | 导出当前session到文件中或者zip |
| find | 寻找文件 |
| help | 帮助 |
| info | 打开文件的信息 |
| notes | 添加标签 |
| open | 打开一个文件 |
| projects | 列表或者选择存在的项目 |
| sessions | 列表或者选择session |
| store | 打开存储的文件 |
| tags | 修改tags |
+------------+-----------------------------------------------+

模块:
+--------------+---------------------------------------------------------------+
| 命令 | 描述|
+--------------+---------------------------------------------------------------+
| apk | 解析安卓应用 |
| cuckoo | 提交文件到Cuckoo沙箱 |
| debup | 解析 McAfee BUP 文件
| editdistance | 编辑distance |
| elf | 提取ELF header |
| email | 解析email邮件 |
| exif | 提取 Exif MetaData |
| fuzzy | 搜索类似的恶意软件 |
| html | 解析HTML |
| ida | 运行 IDA Pro |
| idx | 解析idx |
| image | 图片分析 |
| jar | 解析jar |
| office | Office分析 |
| pdf | 分析PDF |
| pe | PE HEADER |
| r2 | 运行Radare2 |
| rat | 已知rat |
| reports | 在线沙箱报告 |
| shellcode | 搜索已知的SHELLCODE |
| strings | 从文件中提取strings |
| swf | 解析、分析swf |
| virustotal | VirusTotal查询 |
| vttool | 查询VT样本
| xor | 寻找xor 设置 |
| yara | 运行yara扫描 |
+--------------+---------------------------------------------------------------+
4. 加载样本
viper > store -f ./
Docker恶意软件分析系列III:用viper分析APK和木马信息

5. 分析样本
viper > find all
Docker恶意软件分析系列III:用viper分析APK和木马信息
解释:
a) Mime是文件类型
b) MD5就是文件的MD5
6. 分析恶意木马APK木马
a) 打开恶意木马
viper > open 5d94be747142f683dad9bae391df8ed9
Docker恶意软件分析系列III:用viper分析APK和木马信息
b) 利用virustotal分析
viper Mobile_Spy.apk > virustotal
Docker恶意软件分析系列III:用viper分析APK和木马信息
c) 利用yara样本分析
查看yara样本库
viper update.exe > yara rules
Docker恶意软件分析系列III:用viper分析APK和木马信息
查看规则库
viper update.exe > yara rules --edit 2

Docker恶意软件分析系列III:用viper分析APK和木马信息

Yara匹配扫描
viper update.exe > yara scan –a
参数解释:
扫描所有的样本匹配的内容
PS: (Yara我们会在以后详细讲解它的使用方式)
Docker恶意软件分析系列III:用viper分析APK和木马信息


d) 查看木马的编译时间
viper update.exe > pe compiletime
Docker恶意软件分析系列III:用viper分析APK和木马信息

e) 检测木马的编译语言
viper update.exe > pe language
Docker恶意软件分析系列III:用viper分析APK和木马信息
f) 检测木马编译信息
viper update.exe > pe peid
Docker恶意软件分析系列III:用viper分析APK和木马信息
g) 检测木马Strings信息

viper update.exe > strings -a
Docker恶意软件分析系列III:用viper分析APK和木马信息
h) 检测是否是已知木马
viper update.exe > rat -a
Docker恶意软件分析系列III:用viper分析APK和木马信息

0x03 参考
1. http://www.decalage.info/en/scan_frameworks#Viper
2. https://github.com/botherder/viper
3. http://digital-forensics.sans.org/blog/2014/06/04/managing-and-exploring-malware-samples-with-viper

我的更多文章

下载客户端阅读体验更佳

APP专享