Day-256-恶意代码动态分析技术

# Day 277: 恶意代码动态分析技术

> 应急响应系列第 17 天 | 预计阅读时间：35 分钟 | 难度：★★★★★

---

## 清单 目录

1. [动态分析概述](#动态分析概述)
2. [沙箱环境搭建](#沙箱环境搭建)
3. [行为监控技术](#行为监控技术)
4. [网络行为分析](#网络行为分析)
5. [内存行为分析](#内存行为分析)
6. [反分析对抗](#反分析对抗)
7. [自动化沙箱](#自动化沙箱)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 动态分析概述

### 什么是动态分析

**动态分析（Dynamic Analysis）** 是在隔离环境中执行恶意代码，观察其实际行为的方法。

### 动态分析价值

| 价值 | 说明 |
|------|------|
| **观察实际行为** | 看到代码真正做了什么 |
| **绕过混淆** | 代码执行时会解密/脱壳 |
| **发现 IOC** | 提取 C2、文件路径等 |
| **理解攻击链** | 完整攻击流程 |
| **验证假设** | 验证静态分析结论 |

### 动态分析风险

| 风险 | 说明 | 缓解措施 |
|------|------|----------|
| **逃逸风险** | 恶意软件突破隔离 | 多层隔离、网络断开 |
| **持久化** | 感染分析环境 | 快照恢复 |
| **传播** | 感染其他系统 | 物理隔离 |
| **检测分析** | 发现被分析 | 反反分析技术 |

### 动态分析流程

```
┌─────────────────────────────────────────────────────────────┐
│                    动态分析流程                              │
│                                                             │
│  准备环境 ──→ 执行样本 ──→ 监控行为 ──→ 提取 IOC ──→ 清理 │
│     │            │            │             │        │      │
│     ▼            ▼            ▼             ▼        ▼      │
│  快照/隔离    安全执行    文件/注册表    网络/文件   恢复    │
│  工具准备    监控启动    进程/网络    凭证/配置   快照      │
└─────────────────────────────────────────────────────────────┘
```

---

## 沙箱环境搭建

### 虚拟化平台

#### VMware Workstation

**优点**：
- 功能完善
- 快照管理方便
- 网络配置灵活

**配置要点**：
```
1. 安装干净 Windows 系统
2. 安装 VMware Tools
3. 创建干净快照"Clean State"
4. 配置网络（Host-only 或 断开）
5. 安装分析工具
6. 创建"Ready"快照
```

#### VirtualBox

**优点**：
- 免费开源
- 跨平台
- 基本功能齐全

**配置**：
```bash
# 命令行创建 VM
VBoxManage createvm --name "Sandbox" --register
VBoxManage modifyvm "Sandbox" --memory 2048
VBoxManage modifyvm "Sandbox" --nic1 hostonly

# 创建快照
VBoxManage snapshot "Sandbox" take "Clean"
```

#### QEMU/KVM

**优点**：
- 原生 Linux
- 性能好
- 开源

**适用**：Linux 恶意软件分析

### 网络配置

#### 网络模式选择

| 模式 | 说明 | 安全级别 |
|------|------|----------|
| **断开** | 完全无网络 | 最高 |
| **Host-only** | 仅主机通信 | 高 |
| **NAT** | 通过主机上网 | 中（可配置规则） |
| **桥接** | 直接连物理网络 | 低（不推荐） |

#### 模拟网络环境

```
工具：
- INetSim：模拟互联网服务
- FakeNet-NG：模拟网络响应
- DNSChef：DNS 欺骗

用途：
- 让恶意软件以为有网络
- 捕获 C2 域名
- 防止真实连接
```

**INetSim 配置**：
```bash
# 安装
apt install inetsim

# 配置
vim /etc/inetsim/inetsim.conf

# 启动
systemctl start inetsim

# 恶意软件连接任何域名都会连接到 INetSim
```

### 监控工具准备

#### 系统监控

| 工具 | 监控内容 |
|------|----------|
| **Process Monitor** | 文件、注册表、进程 |
| **Process Explorer** | 进程、句柄、DLL |
| **Autoruns** | 自启动项 |
| **TCPView** | 网络连接 |

#### 网络监控

| 工具 | 用途 |
|------|------|
| **Wireshark** | 抓包分析 |
| **Fiddler** | HTTP/HTTPS 代理 |
| **Burp Suite** | Web 流量分析 |

### 快照管理

```
快照策略：
1. Clean State - 干净系统
2. Tools Ready - 工具安装完成
3. Pre-analysis - 分析前
4. Post-analysis - 分析后（保留）

恢复流程：
分析完成 → 还原到 Pre-analysis → 分析下一个样本
```

---

## 行为监控技术

### 进程行为监控

#### Process Monitor 使用

**过滤设置**：
```
1. 打开 ProcMon
2. Filter → Filter...
3. 添加过滤：
   - Process Name is malware.exe → Include
   - Process Name is not malware.exe → Exclude
4. 点击 Apply
```

**关键事件**：
| 事件类型 | 关注内容 |
|----------|----------|
| **CreateFile** | 文件创建/写入 |
| **RegSetValue** | 注册表修改 |
| **CreateProcess** | 子进程创建 |
| **Connect** | 网络连接 |

#### 进程树分析

```
观察要点：
1. 父进程 - 如何启动的
2. 子进程 - 启动了什么
3. 进程链 - 完整执行链

典型恶意进程链：
winword.exe → cmd.exe → powershell.exe → payload.exe
```

### 文件行为监控

#### 文件操作检测

```
关注操作：
- 文件创建（尤其是系统目录）
- 文件修改（配置文件）
- 文件删除（日志、证据）
- 文件复制（传播）

可疑路径：
- C:\Windows\System32\
- C:\Users\Public\
- C:\ProgramData\
- %APPDATA%\
- %TEMP%\
```

#### 文件投放检测

```powershell
# 常见投放位置
$paths = @(
    "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\",
    "$env:LOCALAPPDATA\Temp\",
    "C:\ProgramData\",
    "$env:TEMP\"
)

# ProcMon 过滤这些路径
```

### 注册表行为监控

#### 持久化注册表

```
关键位置：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\System\CurrentControlSet\Services\

监控：
- 新键创建
- 值修改
- 权限变更
```

#### 配置存储

```
恶意软件常存储配置在：
HKCU\Software\<RandomName>\
HKLM\Software\<RandomName>\
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\

监控这些位置可能发现 C2 配置
```

---

## 网络行为分析

### 连接监控

#### TCPView 使用

**显示信息**：
- 进程名
- 本地地址/端口
- 远程地址/端口
- 连接状态

**可疑连接特征**：
| 特征 | 说明 |
|------|------|
| 非常规端口 | 非 80/443 的加密流量 |
| 未知 IP | 不在白名单的 IP |
| 定期连接 | 心跳信标 |
| 多连接 | 连接多个外部 IP |

### HTTP/HTTPS 分析

#### Fiddler 配置

```
1. 安装 Fiddler
2. Tools → Options → HTTPS
3. 勾选 Decrypt HTTPS traffic
4. 安装根证书
5. 开始监控

过滤规则：
- 只显示恶意进程流量
- 高亮可疑域名
```

#### 可疑 HTTP 特征

```
请求特征：
- 异常 User-Agent
- 固定/随机 URL 路径
- 异常 Cookie
- Base64 编码数据

响应特征：
- 返回可执行内容
- 加密/编码数据
- 异常 Content-Type
```

### DNS 行为分析

#### DNS 监控

```bash
# 使用 Wireshark 过滤 DNS
dns

# 查看查询的域名
tshark -Y "dns" -T fields -e dns.qry.name

# 检测 DGA 域名
# - 高熵值
# - 无意义字母组合
# - 大量 NXDOMAIN
```

#### DNS 隧道检测

```
特征：
- 超长子域名
- 高频查询
- TXT 记录异常
- Base64/Hex 编码

示例：
aGVsbG8gd29ybGQ.tunnel.evil.com
```

---

## 内存行为分析

### 进程内存分析

#### 内存转储

```powershell
# 使用 Process Hacker
# 右键进程 → Create → Create Dump

# 使用 ProcDump
procdump -ma pid output.dmp
```

#### 内存扫描

```bash
# 使用 YARA 扫描内存转储
yara -r rules.yar process_dump.dmp

# 查找字符串
strings process_dump.dmp | grep -E "http|password|cmd"
```

### 代码注入检测

#### 注入类型

| 类型 | 说明 | 检测 |
|------|------|------|
| **DLL 注入** | 强制加载 DLL | 检查进程加载的 DLL |
| **代码注入** | 写入代码并执行 | 检查内存权限 |
| **进程镂空** | 替换合法进程代码 | 对比磁盘/内存镜像 |
| **APC 注入** | 异步过程调用 | 检查 APC 队列 |

#### Process Explorer 检测

```
1. 打开 Process Explorer
2. View → Show Lower Pane
3. 选择进程 → 查看 DLLs
4. 检查可疑 DLL：
   - 未知来源
   - 无签名
   - 临时路径
```

### 凭证窃取检测

#### LSASS 访问监控

```
Mimikatz 等工具会访问 LSASS 进程

检测方法：
1. ProcMon 过滤 lsass.exe
2. 查看哪些进程访问 LSASS
3. 任何非系统进程访问都是可疑的
```

#### 凭证转储告警

```powershell
# Windows 事件日志
# 事件 ID 4688: 进程创建
# 过滤 mimikatz、sekurlsa 等关键词

Get-WinEvent -FilterHashtable @{LogName='Security';Id=4688} |
Where-Object {$_.Message -like "*mimikatz*" -or $_.Message -like "*sekurlsa*"}
```

---

## 反分析对抗

### 常见反分析技术

| 技术 | 说明 | 对抗方法 |
|------|------|----------|
| **反虚拟机** | 检测 VM 特征 | 隐藏 VM 特征 |
| **反沙箱** | 检测沙箱环境 | 模拟真实用户 |
| **反调试** | 检测调试器 | 隐藏调试器 |
| **延迟执行** | 等待后执行 | 等待足够时间 |
| **用户交互** | 等待鼠标点击 | 模拟用户活动 |

### 虚拟机检测与隐藏

#### VM 检测方法

```
恶意软件检测 VM 的方法：
- 检查 MAC 地址（VMware: 00:0C:29, VirtualBox: 08:00:27）
- 检查进程（vmtoolsd.exe, VBoxService.exe）
- 检查注册表（VMware Tools 信息）
- 检查硬件（VM 特定硬件 ID）
- 检查指令执行时间（RDTSC）
```

#### 隐藏 VM 特征

```powershell
# 移除 VM 工具
# 不要安装 VMware Tools/VirtualBox Guest Additions

# 修改 MAC 地址
# 使用非 VM 的 MAC 地址前缀

# 删除注册表痕迹
reg delete "HKLM\SOFTWARE\VMware, Inc." /f
```

### 沙箱检测与对抗

#### 沙箱特征

```
沙箱检测点：
- 运行时间短（沙箱通常只运行几分钟）
- 用户活动少（无鼠标键盘活动）
- 内存小（沙箱内存配置低）
- 单核 CPU
- 特定沙箱进程
```

#### 模拟真实环境

```
1. 运行足够长时间（10 分钟以上）
2. 模拟用户活动（自动点击、打字）
3. 配置足够资源（4GB 内存，多核）
4. 安装常用软件（Office、浏览器）
5. 创建用户文件（文档、图片）
```

### 调试器检测

#### 检测方法

```assembly
; 常见反调试技术
IsDebuggerPresent    ; Windows API
CheckRemoteDebuggerPresent
NtQueryInformationProcess
Int3 陷阱
时间检查 (RDTSC)
```

#### 隐藏调试器

```
工具：
- ScyllHide
- TitanHide
- Phant0m

方法：
- 钩子 API 返回假值
- 隐藏调试器进程
- 移除 Int3 断点
```

---

## 自动化沙箱

### Cuckoo Sandbox

#### 架构

```
┌─────────────────────────────────────────────────────────────┐
│                   Cuckoo Sandbox 架构                        │
│                                                             │
│  ┌─────────┐    ┌─────────┐    ┌─────────┐                 │
│  │  Web UI │    │  API    │    │  管理    │                 │
│  └────┬────┘    └────┬────┘    └────┬────┘                 │
│       └──────────────┼──────────────┘                       │
│                      ▼                                      │
│  ┌─────────────────────────────────────────────────────┐   │
│  │                   核心服务                           │   │
│  │  • 任务调度  • 结果处理  • 报告生成                 │   │
│  └─────────────────────────────────────────────────────┘   │
│                      │                                      │
│       ┌──────────────┼──────────────┐                       │
│       ▼              ▼              ▼                       │
│  ┌─────────┐    ┌─────────┐    ┌─────────┐                 │
│  │ 虚拟机 1 │    │ 虚拟机 2 │    │ 虚拟机 3 │                │
│  │ Windows │    │ Linux   │    │ macOS   │                 │
│  └─────────┘    └─────────┘    └─────────┘                 │
└─────────────────────────────────────────────────────────────┘
```

#### 安装配置

```bash
# 安装
git clone https://github.com/cuckoosandbox/cuckoo
cd cuckoo
pip install -r requirements.txt

# 配置
cp -r conf conf.bak
# 编辑 conf/cuckoo.conf, conf/virtualbox.conf 等

# 启动
./cuckoo.py
```

#### 提交样本

```bash
# 命令行提交
./cuckoo submit malware.exe

# API 提交
curl -F file=@malware.exe http://localhost:8090/tasks/create

# Web 界面提交
http://localhost:8090
```

#### 报告分析

```json
// JSON 报告摘要
{
  "info": {
    "started": "2024-04-12 10:00:00",
    "ended": "2024-04-12 10:05:00"
  },
  "network": {
    "hosts": ["185.123.45.67"],
    "domains": ["evil.com"]
  },
  "signatures": [
    {"name": "creates_exe", "severity": 2},
    {"name": "connects_to_ip", "severity": 3}
  ],
  "dropped": [
    {"name": "payload.exe", "type": "PE32"}
  ]
}
```

### 其他沙箱

| 沙箱 | 类型 | 特点 |
|------|------|------|
| **Any.Run** | 在线 | 交互式分析 |
| **Joe Sandbox** | 在线/本地 | 深度分析 |
| **Hybrid Analysis** | 在线 | 免费、快速 |
| **VirusTotal** | 在线 | 多引擎扫描 |

---

## 总结与思考

### 核心要点回顾

1. **动态分析观察实际行为** - 静态分析无法替代

2. **沙箱隔离至关重要** - 防止感染扩散

3. **全方位监控** - 文件、注册表、进程、网络

4. **反分析需要对抗** - 了解并绕过检测

5. **自动化提高效率** - 沙箱批量分析

### 实战建议

1. **建立专用分析环境** - 物理隔离最佳

2. **准备完整工具链** - 监控、分析、报告

3. **定期更新快照** - 保持环境干净

4. **积累 IOC 库** - 持续更新威胁情报

5. **结合静态分析** - 动静结合最全面

---

## 参考资料

### 工具资源

- **Cuckoo Sandbox** - https://cuckoosandbox.org/
- **REMnux** - https://remnux.org/
- **FLARE VM** - https://github.com/mandiant/flare-vm

### 学习资源

- **Practical Malware Analysis** - 经典书籍
- **Malware Analysis Tools** - https://malwareanalysis.tools/

---

*365 天信息安全技术系列 | Day 277 | 恶意代码动态分析技术*