自动化恶意软件分析操作 (MAOps)

我相信自动化分析是所有恶意软件分析师都在努力应对的挑战，以便更有效地进行日常事件调查。基于云的技术（CI/CD、无服务器、IaC 等）是可以高效自动化 MAOps 的出色解决方案。在本文中，我将根据以下案例研究介绍 JPCERT/CC 如何在云端自动执行恶意软件分析。

1. 恶意软件 C2 监控
2. 使用云的恶意软件搜索
3. YARA CI/CD 系统
4. 云端表面分析系统
5. 云端内存取证

恶意软件 C2 监控

监控 C2 服务器对于了解攻击者的活动很重要，许多恶意软件分析师会定期进行这项工作。但是，如果访问C2服务器的次数过多，可能会被攻击者屏蔽，甚至成为攻击目标。这些问题可以通过云服务来解决。 JPCERT/CC 使用云服务监控用于幸运访客诈骗的 C2 服务器。攻击者从他们的 C2 服务器向被篡改的网站发送命令，以将访问者重定向到诈骗网站。 C2  服务器发送的重定向 URL 会定期更改，因此如果您持续监控 C2 服务器，您可以找到新的重定向 URL。 为了应对这种攻击，JPCERT/CC 自动化了发现 C2 服务器以及收集和拒绝列出重定向 URL 的过程，以阻止重定向到 Web 浏览器上的幸运访客诈骗网站。详细流程如图1所示。

图1：Lucky visitor骗局C2服务器监控流程

该系统运行在 AWS 上，如图 2 所示。无服务器服务 Lambda 扫描 C2 服务器并将结果通过 GitHub Action 发送到 Google  Safe Browsing。通过监控云上的C2服务器，即使攻击者进行了访问限制，您也可以通过使用不同的区域轻松避免。

图2：幸运访客骗局C2服务器监控系统

C2 服务器监控结果（重定向 URL 列表）可在以下 GitHub 存储库中找到： https://github.com/JPCERTCC/Lucky-Visitor-Scam-IoC

使用云的恶意软件搜索

恶意软件分析师通常会搜寻恶意软件以收集 IoC 和其他信息。他们反复从 VirusTotal  和其他资源下载恶意软件并进行分析。但是，不可能手动分析每种类型的恶意软件，因为攻击者每天都会创建大量类型的恶意软件。在这种情况下，您还可以使用云服务轻松构建自动化分析系统。 JPCERT/CC 运行一个系统，该系统自动从互联网上收集 Cobalt Strike Beacons 并存储分析结果。图3显示了系统的操作流程。互联网上有许多  Cobalt Strike C2 服务器，许多研究人员收集的信息都可以在 VirusTotal  等开放平台上找到。系统根据这些信息调查C2服务器，自动采集分析样本。

图 3：自动 Cobalt Strike Beacon 收集和分析流程

该系统使用 AWS 无服务器服务和 GitHub 开发。关键点，与 C2 服务器的连接和恶意软件分析，都是在 Lambda 上进行的。除了自动收集 C2  服务器信息外，我们还准备了一个 API 来手动调查它们（API 网关）。仅开源数据并不能涵盖所有 C2 服务器。当发现未知的 C2  服务器时，需要对其进行手动分析。但是，如果以这种方式准备 API，则只需提供 URL，就可以在不下载样本的情况下调查 C2 服务器。

图 4：Cobalt Strike Beacon 收集系统

Cobalt Strike Beacon 收集系统的分析结果可在以下 GitHub 存储库中获取： https://github.com/JPCERTCC/CobaltStrike-Config

YARA CI/CD 系统

虽然已经发布了各种用于自动创建 YARA 规则的工具，但目前还没有一种工具可以被认为是最标准的。因此，恶意软件分析人员需要手动创建 YARA  规则。由于这是一项耗时的任务，因此自动创建 YARA 规则是一个重要的挑战。虽然没有适用于所有类型恶意软件的自动 YARA  规则创建方法，但根据样本的模式，自动化是可能的。 JPCERT/CC 运行一个系统，该系统自动为具有特定模式的恶意软件生成 YARA。例如，我介绍了为 HUI Loader 生成 YARA 规则的 CI/CD  系统，该系统被 APT10、Blue Termite、A41APT 等使用。HUI Loader  加载作为主体的编码恶意软件，对其进行解码并执行它在内存中。详见以往JPCERT/CC Eyes文章。 加载程序恶意软件（例如 HUI  Loader）的一个常见问题是，虽然加载程序通常可以通过恶意软件搜索检测到，但它加载的编码恶意软件本身通常无法找到。然而，在这种情况下，由于加载程序的编码算法是已知的，因此可以创建 YARA 规则来检测编码的恶意软件。图5显示了该系统的操作流程。

图 5：HUI Loader YARA CI/CD 流程

该系统还使用了 AWS 无服务器服务和 GitHub。它自动从 VirusTotal 收集样本，对其进行分析，生成 YARA 规则，并将规则应用于  VirusTotal 以收集新样本。到目前为止，我已经介绍了 3 种自动化系统作为示例，但实际上只要您会使用 Lambda 和 S3，您就可以在 AWS 上实现几乎所有功能。

图 6：HUI Loader YARA CI/CD 系统

HUI Loader 的分析结果可在以下 GitHub 存储库中找到： https://github.com/JPCERTCC/HUILoader-research

云端表面分析系统

恶意软件分析师从安全供应商发布的报告和博客文章中收集有关最新恶意软件的信息。但是，供应商通常会为同一类型的恶意软件赋予唯一的名称或仅发布哈希值。因此，很难将一种恶意软件与您的组织仅根据报告的内容识别出的恶意软件进行比较。如果您可以立即从报告中的哈希值中识别出一种恶意软件（例如，基于您的 YARA 规则的扫描结果），您可以找到报告与您的组织正在收集的信息之间的联系，这可以提高速度你的研究。 云服务也可用于此类目的。具体来说，这个问题可以通过构建一个按照图 7 所示流程运行的系统来解决。Web 浏览器插件用于将哈希值信息发送到分析系统，该分析系统从 VirusTotal 下载恶意软件，使用YARA等各种分析工具扫描，并展示结果（图8）。

图 7：从供应商报告中分析恶意软件的流程

图 8：恶意软件分析结果屏幕

该系统可以构建在 AWS 上并如图 9 所示工作。API 网关接收从 Web 浏览器插件发送的哈希值，这会触发 Docker with Batch  来分析恶意软件。分析结果以 HTML 格式保存在 S3 中，同时通过 SNS 发送电子邮件。此外，由于许多研究人员在 Twitter  上发布恶意软件散列值，通过合并收集和分析此类信息的功能，您可以自动化此过程

图 9：表面分析系统

此外，通过将这样的分析系统转换为 IaC，可以轻松地合并和使用新的分析工具。例如，您可以创建脚本提取特定类型恶意软件的配置信息并将其合并到IaC中，更容易应用于云端。上述分析系统的 Terraform 版本可在以下 GitHub 存储库中找到： https://github.com/JPCERTCC/SurfaceAnalysis-on-Cloud

云端内存取证

在事件调查中，有时需要同时调查大量设备。当同时对多台设备进行内存取证时，单台设备难以承受，而且根据设备的规格，可能需要很长时间。这些问题都可以通过使用云服务来解决。图 10 显示了构建在 AWS 上的内存取证系统。

图 10：内存取证系统

当内存映像保存在 S3 中时，它会触发 Batch 启动 Docker，内存映像由内存取证工具 Volatility Framework 进行分析。分析结果以  HTML 格式保存在 S3 中，同时通过 SNS 发送电子邮件。如图 11  所示，通过参考过去的结果而不是重复相同的过程，您的分析变得更加有效。在这个系统中，由于每次内存镜像分析都是由Batch启动Docker，所以可以同时分析多个设备。

图 11：内存取证分析结果屏幕

构建上述系统的 Terraform 代码可在以下 GitHub 存储库中找到： https://github.com/JPCERTCC/MemoryForensic-on-Cloud

结束语

本文仅介绍了几个使用云服务进行 MAOps 的示例。应该还有更多可能的使用模式。希望使用云服务可以让您的日常恶意软件分析更有效率！朝永修成（中野拓实译）

原文地址：https://blogs.jpcert.or.jp/en/2023/01/cloud_malware_analysis.html