JPCERT/CC 如何在云端自動化惡意軟件分析

在之前的文章中介紹過日本國家網絡安全事件應對與戰略研究中心（NISC），感興趣的可以移步查看。本次介紹的是日本另一個國家級應急響應機構 JPCERT/CC 在惡意軟件分析領域內的工作，來看看該組織為推進自動化惡意軟件分析運營做出了哪些探索與實踐。

惡意軟件 C&C 服務器監控系統

在“Lucky Visitor 詐騙”案例中，攻擊者通過 C&C 服務器向被篡改的 PHP 網站發送命令，將訪問者重定向到詐騙網站。C&C 服務器下發的重定向 URL 會定期更改，持續監控 C&C 服務器即可持續跟蹤重定向 URL。

為了應對這種攻擊，JPCERT/CC 自動化了整個處理流程，如下所示：

整個系統部署在 AWS 上，Lambda 掃描 C&C 服務器并將結果通過 GitHub Action 發送到 Google Safe Browsing。

對外也公開了重定向 URL 的列表

https://github.com/JPCERTCC/Lucky-Visitor-Scam-IoC

Cobalt Strike Beacons 分析系統

惡意軟件分析人員會搜尋大量的樣本，但又不能手動一一進行分析。JPCERT/CC 通過 VirusTotal 獲取有關 C&C 服務器的信息，再自動采集 Cobalt Strike Beacons 樣本進行分析獲取配置信息。

整個系統部署在 AWS 上，除了自動流程外還準備了手動分析的 API 接口。當發現未知的 C&C 服務器時，就可以手動提供 URL 在不下載樣本的情況下調查 C&C 服務器。

對外也公開了 Cobalt Strike Beacon 的信息

https://github.com/JPCERTCC/CobaltStrike-Config

Yara CI/CD 系統

手動創建 Yara 規則較為耗時，自動為具有特定模式的惡意軟件生成 Yara 規則是極為必要的。在“HUI Loader”的案例中，加載程序容易找到，但用于加載的編碼后的惡意軟件很難找到。由于加載程序的編碼算法是已知的，可以通過 Yara 規則來檢測使用該編碼的惡意軟件。

整個系統部署在 AWS 上，自動通過 VirusTotal 獲取樣本并對其進行分析，生成 Yara 規則后再送回 VirusTotal 收集新的樣本。

對外也公開了 HUI Loader 的信息

https://github.com/JPCERTCC/HUILoader-research

云端分析系統

將哈希值發送到分析系統，通過 VirusTotal 來獲取惡意軟件，再使用 Yara 等分析工具進行掃描：

各種渠道來源披露的威脅信息非常多，找到公開披露的信息與組織內收集到的信息是否存在關聯是十分重要的。部分結果如下所示：

整個系統部署在 AWS 上，可自動化處理分析來自博客與 Twitter 上披露的惡意軟件。此外，也可以通過 API 網關接收瀏覽器插件發送的哈希值，觸發 Batch 對惡意軟件進行分析。

云端內存取證系統

在進行安全事件調查時，通常需要進行設備取證。如果需要對大量設備同時進行取證時，傳統的方式費時費力，因此構建云上內存取證系統十分有必要。

內存鏡像首先保存在 S3 中，需要時觸發 Batch 啟動 Docker，再由 Volatility 進行分析。部分結果如下所示：

總結

隨著每天新增的惡意軟件越來越多，自動化運營的重要性也在不斷彰顯。為了更好地推進業務目標，使用云或者其他技術方式都是手段，構建更加自動化、更加可運營的惡意軟件分析流水線是大家共同的目標。他山之石，可以攻玉。

點擊閱讀原文即可查看 JPCERT/CC 原始文章。