Dynmx：一款功能强大的基于签名的恶意软件功能检测工具

 关于Dynmx 

Dynmx是一款功能强大的基于签名的恶意软件功能检测工具，该工具实现了一种基于Windows API调用序列来检测恶意软件特征和行为的方法，这也是一种基于签名的安全检测方法。在该工具的帮助下，广大研究人员可以将Dynmx视作某种YARA规则，并利用它在恶意软件沙箱环境中实现API调用跟踪。

Dynmx所实现的检测方法使用的数据并不是静态分析数据，而是在恶意软件沙箱中对恶意软件样本进行动态分析期间生成的数据。

当前版本的Dynmx支持下列恶意软件沙箱日志：

VMRay

CAPEv2

Cuckoo

 工具要求 

Python 3.9

anytree

lxml

pyparsing

PyYAML

six

stringcase

 工具安装 

由于该工具基于Python 3.9开发，因此我们首先需要在本地设备上安装并配置好Python 3.9环境.接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/0x534a/dynmx.git

（向右滑动，查看更多）


然后切换到项目目录下，使用pip3命令和项目提供的requirements.txt文件安装该工具所需的其他依赖组件：
cd dynmxpip3 install -r requirements.txt



我们建议大家在Python虚拟环境中安装和使用该工具。


 工具使用 


dynmx.py脚本是该工具的主入口点，使用-h命令可以查看工具的帮助信息：
$ python3 dynmx.py -h
usage: dynmx.py [-h] [--format {overview,detail}] [--show-log] [--log LOG] [--log-level {debug,info,error}] [--worker N] {detect,check,convert,stats,resources} ..
Detect dynmx signatures in dynamic program execution information (function logs)
optional arguments:
  -h, --help            显示工具帮助信息和退出
  --format {overview,detail}, -f {overview,detail}
                      数据输出格式
  --show-log            在STDOU中显示所有的日志输出
  --log LOG, -l LOG      日志文件
  --log-level {debug,info,error}
                        日志级别 (默认: info)
  --worker N, -w N       要生成的worker进程数量(默认: - 2)
sub-commands:
  要执行的任务{detect,check,convert,stats,resources}
    detect              检测一个dynmx 签名
    check               检测dynmx 签名的语句
    convert           将函数日志转换为dynmx通用函数日志
    stats               函数日志的统计信息
    resources           从函数日志中收集到的资源

（向右滑动，查看更多）


下列方式可以查看特定命令的帮助信息（以detect检测命令为例）：
$ python3 dynmx.py detect -h
usage: dynmx.py detect [-h] --sig SIG [SIG ...] --input INPUT [INPUT ...] [--recursive] [--json-result JSON_RESULT] [--runtime-result RUNTIME_RESULT] [--detect-all]optional arguments:
  -h, --help            显示帮助信息和退出
  --recursive, -r        递归搜索输入文件
  --json-result JSON_RESULT  设置JSON格式的结果文件
  --runtime-result RUNTIME_RESULT  以CSV文件格式统计运行时信息
  --detect-all          检测所有进程的签名required arguments:
  --sig SIG [SIG ...], -s SIG [SIG ...]
                        要检测的dynmx签名
  --input INPUT [INPUT ...], -i INPUT [INPUT ...]
                        输入文件路径

（向右滑动，查看更多）


 工具使用样例 


在一个函数日志中检测一个Dynmx签名，使用一个worker进程：
python3 dynmx.py -w 1 detect -i "flog.txt" -s dynmx_signature.yml

（向右滑动，查看更多）


将一个函数日志转换为dynmx通用函数日志格式：
python3 dynmx.py convert -i "flog.txt" -o /tmp/

（向右滑动，查看更多）
检测一个签名：





python3 dynmx.py check -s dynmx_signature.yml

（向右滑动，查看更多）
基于函数日志，获取恶意软件样本所使用的详细资源列表：
python3 dynmx.py -f detail resources -i "flog.txt"

（向右滑动，查看更多）


 许可证协议 


本项目的开发与发布遵循Apache-2.0开源许可证协议。


 项目地址 


Dynmx：https://github.com/0x534a/dynmx


【FreeBuf粉丝交流群招新啦！
在这里，拓宽网安边界

甲方安全建设干货；
乙方最新技术理念；
全球最新的网络安全资讯；
群内不定期开启各种抽奖活动；
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”，申请加入群聊】








https://github.com/0x534a/master-thesis
https://github.com/0x534a/dynmx-signatures
https://bazaar.abuse.ch/sample/c0832b1008aa0fc828654f9762e37bda019080cbdd92bd2453a05cfb3b79abb3/
https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey
https://www.vmray.com/analyses/_mb/c0832b1008aa/report/overview.html
https://www.vmray.com/analyses/_mb/c0832b1008aa/logs/flog.txt
https://attack.mitre.org/techniques/T1055/012/
https://github.com/avast/avast-ctu-cape-dataset











原文始发于微信公众号（FreeBuf）：Dynmx：一款功能强大的基于签名的恶意软件功能检测工具