使用開源網絡分析工具 FakeNet-NG 改進動態惡意軟件分析
在2016年,FLARE推出了一款用Python編寫的開源網絡分析工具FakeNet-NG。FakeNet-NG允許安全分析人員在單個Windows主機上使用標準或自定義協議來觀察網絡應用程序并與其進行交互,這對惡意軟件分析和逆向工程特別有用。自從FakeNet-NG的推出以來,FLARE又對其進行了一些升級,比如增加了對附加協議的支持。 FakeNet-NG現在具有DNS,HTTP(包括BITS),FTP,TFTP,IRC,SMTP,POP,TCP和UDP以及SSL的即用支持。
最近更新了FakeNet-NG,其中包括我們最需要的功能之一:HTTP和二進制協議的自定義響應。
這篇博客文章提供了七個“階段”來幫助您掌握不同的FakeNet-NG策略。我們根據分析惡意軟件時遇到的常見情況來介紹它們。隨時跳到與您當前分析相關的部分,和/或使它們適合您的個人需求。這些階段介紹如下:
準備階段:配置FakeNet-NG
這是FakeNet-NG配置和日志數據位置的快速參考。
- 配置文件位于fakenet \ configs中。您可以修改default.ini或將其復制到新文件,然后使用-c將FakeNet-NG指向備用配置。例如:fakenet.py -c custom.ini。
- 默認文件位于fakenet \ defaultFiles,監聽器實現位于fakenet \ listeners。
- 該fakenet \ CONFIGS \ Default.ini中默認配置包括全局配置設置和個人監聽器的配置。
- 自定義響應配置示例包含在文件CustomProviderExample.py,sample_custom_response.ini和sample_raw_response.txt文件中的fakenet \ configs目錄中。
- FARENet-NG在FLARE VM中的安裝位置為C:\ Python27 \ lib \ site-packages \ fakenet。您將在此目錄中找到包含defaultFiles,configs和listeners的子目錄。
- 在FLARE VM中,可以在桌面上的fakenet_logs目錄中找到FakeNet-NG數據包捕獲文件和HTTP請求。
階段1:自定義文件響應
您可能已經注意到,FakeNet-NG不僅限于提供HTML頁面。根據請求的文件類型,FakeNet-NG可以提供PE文件,ELF文件,JPG,GIF等。FakeNet-NG配置有幾種常見類型的默認文件,也可以配置為提供自定義文件。該defaultFiles目錄中包含多種類型的標準響應文件。例如,如果惡意軟件發送對evil.exe的FTP GET請求,則FakeNet-NG將以文件defaultFiles \ FakeNetMini.exe進行響應。(.exe請求的默認響應)。此文件是有效的可移植可執行文件,顯示一個消息框。通過提供實際的PE文件,我們可以在惡意軟件嘗試下載并執行惡意有效負載時對其進行觀察。圖1顯示了一個FTP會話示例以及下載的默認文件的后續執行。
圖1:使用FTP下載FakeNet-NG的默認可執行響應
該系統已充分處理了大多數請求。但是,惡意軟件有時會期望使用特定格式的文件,例如帶有嵌入式PowerShell腳本的圖像,或帶有哈希值的可執行文件,該可執行文件將附加到文件中以進行完整性檢查。在這種情況下,您可以將一個默認文件替換為符合惡意軟件期望的文件。每個相關的監聽器(實現網絡協議的模塊)配置中也都有一個選項可以修改defaultFiles路徑。這使FakeNet-NG可以在不覆蓋或修改默認數據的情況下提供不同的文件。圖2顯示了一個自定義的FakeNet.html文件。
圖2:修改默認的FakeNet.html文件以自定義響應
階段2:自定義二進制協議
許多惡意軟件樣本實現了需要特定字節序列的自定義二進制協議。例如,GH0ST家族中的惡意軟件可能要求每條消息都以諸如“ GH0ST”之類的簽名開頭。默認的FakeNet-NG RawListener通過回顯響應未知請求,也就是說,它發送的數據與接收到的相同。這種行為通常就足夠了。但是,在需要自定義響應的情況下,您仍然可以發送惡意軟件期望的數據。
FakeNet-NG現在可以自定義TCP和UDP響應,假設有一個惡意軟件樣本,它將字符串“Hello”發送到它的命令與控制(C2)服務器,并等待一個以“FLARE”開頭,然后是一個數字命令(0-9)的響應包。現在,我們將演示FakeNet-NG處理此場景的幾種有趣方法。
靜態自定義響應
您可以配置TCP和/或UDP原始監聽器如何響應流量。在此示例中,我們告訴FakeNet-NG如何響應任何TCP原始請求(未檢測到協議)。首先,取消注釋fakenet / configs / default.ini的RawTCPListener部分中的Custom配置選項,如圖3所示。
圖3:激活自定義TCP響應
接下來,如圖4所示,在fakenet \ configs \ sample_custom_response.ini中配置TcpRawFile自定義響應。確保注釋掉或替換默認的RawTCPListener實例。
圖4:TCP靜態自定義響應規范
創建內容為FLARE0的文件fakenet \ configs \ flare_command.txt。現在將根據文件的內容生成TCP響應。
動態自定義響應
也許您想動態發布命令,而不是提交flare_command.txt中的特定命令。這可以通過編程實現。如圖5所示,在fakenet \ configs \ sample_custom_response.ini中配置TcpDynamic定制響應。請確保注釋掉或替換現有的RawTCPListener實例。
圖5:TCP動態定制響應規范
可以將文件fakenet \ configs \ CustomProviderExample.py用作我們的動態響應文件flare_command.py的模板。我們修改HandleTcp()函數并生成新文件fakenet \ configs \ flare_command.py,如圖6所示。現在,您可以在惡意軟件執行時選擇每個命令。圖7演示了使用此配置動態發布命令。
圖6:TCP動態響應腳本
圖7:發出TCP動態命令
階段3:自定義HTTP響應
惡意軟件經常在流行的HTTP協議上實現自己的加密方案。例如,您的示例可能會發送一個HTTP GET請求到/comm.php?nonce=<random>并期望C2服務器響應使用nonce值進行RC4加密。這個過程如圖8所示。我們如何能輕易地迫使惡意軟件執行它的關鍵代碼路徑來觀察或調試它的行為?
圖8:惡意軟件示例期望基于信標數據的特定密鑰
對于此類情況,我們最近引入了對HTTP自定義響應的支持。與TCP自定義響應一樣,HTTPListener也具有名為Custom的新設置,該設置可啟用動態HTTP響應。此設置還允許FakeNet-NG選擇與特定主機或URI匹配的適當響應。使用此功能,我們現在可以根據我們的惡意軟件樣本快速編寫一個小的Python腳本來動態處理HTTP流量。
首先取消注釋HTTPListener80部分中的Custom配置選項,如圖9所示。
圖9:HTTP監聽器配置
接下來,如圖10所示,在fakenet \ configs \ sample_custom_response.ini中配置HttpDynamic定制響應。確保注釋掉或替換默認的HttpDynamic實例。
圖10:HttpDynamic配置
可以將文件fakenet \ configs \ CustomProviderExample.py用作我們的動態響應文件http_example.py的模板。我們修改HandleRequest()函數,如圖11所示。FakeNet-NG現在將使用隨機數動態加密響應。
圖11:動態HTTP請求處理程序
階段4:手動自定義響應
為了獲得更大的靈活性,可以使用功能強大的網絡實用程序netcat替代FakeNet-NG監聽器。例如,您可能希望使用netcat充當C2服務器,并在端口80上的執行期間動態發出命令。在啟動FakeNet-NG之前啟動netcat偵聽器,目的地為相應端口的流量將被轉移到netcat監聽器。然后,您可以使用netcat界面動態發出命令,如圖12所示。
圖12:使用ncat.exe手動處理流量
FakeNet-NG的自定義響應功能多種多樣。
階段5:列入黑名單流程
一些分析師更喜歡從單獨的系統調試惡意軟件。這樣做有很多原因。最常見的是在惡意軟件不可避免地破壞環境時保留IDA數據庫和其他保存的數據。該過程通常涉及在僅主機的網絡上配置兩個虛擬機。在此設置中,FakeNet-NG攔截了兩臺計算機之間的網絡流量,這使得遠程調試變得不可能。為了克服這一障礙,我們可以通過指示FakeNet-NG忽略調試服務器進程中的流量,將調試服務器列入黑名單。
使用IDA Pro進行遠程調試時,用于32位可移植可執行文件的標準調試服務器進程是win32_remote.exe(對于WinDbg,則為dbgsrv.exe)。您所需要做的就是將流程名稱添加到ProcessBlackList配置中,如圖13所示。然后,調試服務器仍可以與IDA Pro自由通信,而所有其他網絡流量都由FakeNet-NG捕獲和重定向。
圖13:修改后的configs / default.ini以允許使用IDA Pro進行遠程調試
將黑名單用于從污染Fakenet-NG捕獲的網絡流量中篩選出嘈雜的進程也很有用。示例包括嘗試更新Windows系統或其他惡意軟件分析工具的過程。
其他設置可用于將端口和主機列入黑名單。
階段6:在連接事件上執行命令
可以將Fakenet-NG配置為在與偵聽器建立連接時執行命令。例如,此選項可用于在嘗試進行連接時將調試器附加到正在運行的樣本。想象一個場景,我們分析了來自實用惡意軟件分析實驗室的名為Lab18-01.exe的打包樣本。使用動態分析,我們可以看到惡意軟件使用HTTP協議通過TCP端口80將信標發送到C2服務器,如圖14所示。
圖14:通過TCP端口80到其C2服務器的惡意軟件信標
建立連接后,如果我們可以將調試器神奇地附加到Lab18-01.exe,這不是很好嗎?我們可以加快樣本運行速度,并繞過整個拆箱存根以及樣本可能采用的任何潛在的反調試技巧。
要將Fakenet-NG配置為啟動調試器并將其附加到任何進程,請修改fakenet \ configs \ default.ini中的[ HTTPListener80 ]部分以包括ExecuteCmd選項。圖15顯示了完整的[ HTTPListener80 ]部分的示例。
圖15:執行命令選項以運行并附加x32dbg
在此示例中,我們在端口80上配置HTTPListener以執行調試器x32dbg.exe,該調試器將附加到正在運行的進程,該進程的進程ID在運行時確定。與HTTPListener建立連接時,FakeNet-NG會自動將字符串{pid}替換為建立連接的進程的進程ID。
重新啟動Fakenet-NG并再次運行示例后,我們看到x32dbg啟動并自動附加到Lab18-01.exe。現在,我們可以使用內存轉儲工具(例如Scylla或OllyDumpEx插件)轉儲可執行文件并進行靜態分析。如圖16和圖17所示。
圖16:使用FakeNet-NG將x32dbg附加到示例(動畫)
圖17:Fakenet-NG在連接至Practicalmalwareanalysis.com后執行x32dbg
階段7:解密SSL流量
惡意軟件通常使用SSL進行網絡通信,由于對數據包數據進行了加密,因此極大地阻礙了流量分析。使用Fakenet-NG的ProxyListener,可以創建具有解密流量的數據包捕獲。這可以使用協議檢測功能來完成。
代理可以檢測SSL,并使用Python的OpenSSL庫在SSL中“中間人”使用套接字。然后,它與惡意軟件以及與HTTP偵聽器保持全雙工連接,而雙方都不知道對方。因此,在代理和HTTP監聽器之間存在明文HTTP通信流,如圖18所示。
圖18:Fakenet-NG組件之間的明文流
為了使FakeNet-NG盡可能簡單,FakeNet-NG的當前默認設置沒有代理在端口443上攔截HTTPS通信并創建解密的流。為了代理數據,您需要將HTTPListener443 Hidden屬性設置為True,如圖19所示。這告訴代理攔截數據包并根據數據包內容檢測協議。
圖19:隱藏監聽器,以便代理流量
現在,我們可以檢查Fakenet-NG產生的數據包捕獲。明文可以在TCP流在localhost臨時端口(之間找到ProxyListener)和在本地主機端口80(HTTPListener)。如圖20所示。
圖20:HTTPListener和代理偵聽器之間的明文流量
結論(New Game+)
Fakenet-NG是用于惡意軟件分析的事實上的標準網絡仿真工具。它無需安裝即可運行,并且包含在FLARE VM中。除了經過驗證的默認設置外,Fakenet還提供了無數功能和配置選項。在此博客文章中,我們介紹了一些技巧來處理常見的分析場景。要下載最新版本,查看所有配置選項的完整列表或對Fakenet-NG有所貢獻,請參閱我們的Github存儲庫。
