樣本相似分析新嘗試：通過音頻實現

之前研究人員經常需要分析惡意軟件樣本、惡意軟件家族之間的關聯關系。經典的方式是利用 BinDiff 進行二進制相似比對，如下所示。

從指令、函數等角度進行了比較，根據 BinDiff 的分析，這兩個樣本相似度為 52%。除了這種方法，還有許多方式能夠比較惡意軟件的相似性，例如模糊哈希等。例如在對 DPRK 勒索軟件進行分析時，可以使用圖像處理技術與希爾伯特曲線映射發現樣本之間的相似之處。

近日，研究人員嘗試用音頻來表征惡意樣本，以此分析樣本相似。

音頻分析樣本相似

對五月與六月發現的 Conti 勒索軟件樣本文件進行分析，BinDiff 給出的結果認為二者的相似度為 99.8%。

首先通過如下命令將樣本轉換為音頻文件：

cat malwarefile.bin | mplayer -cache 1024 -quiet -rawaudio samplesize =1: channels=1 :rate=8000 -demuxer rawaudio -
這樣就會生成一些內容嘈雜的音頻，將音頻經過混音器處理后輸出為 .wav 或者 .mp3 音頻文件。
使用音頻分析工具（例如 Audacity 和 Sonic LineUp 等）加載生成的音頻文件，其頻譜圖如下所示：

根據頻譜圖可以發現二者基本相同，僅六月發現的樣本最后存在細微差別，這與 BinDiff 的分析也是一致的。

對于 DPRK 勒索軟件家族，VHD 樣本與 BEAF 樣本都有許多相似之處，也有許多不同之處。為二者創建對應的音頻文件，由于文件大小不同，所以音頻文件長度也不同。將音頻文件加載到 Audacity 中可以很直觀的看出來：

長度的差異十分明顯，但波形也非常相似。使用 Sonic LineUp 盡可能將波形與頻譜對齊，從視覺上看二者還是十分相似的：

頻譜圖上也能看出這一點，VHD 樣本在 7000Hz 以上的部分比 BEAF 要多。

將樣本轉換為音頻進行分析是一個新嘗試，這表明傳統的分析方法或者通過轉換為圖片的分析方法也能夠遷移到音頻領域中。也許某個天才的研究人員，能將惡意樣本轉換為一段優美的旋律。攻擊者不斷開發的新文件，都會變成新樂章的音符。