应急响应篇——恶意文件分析

恶意文件分析在应急响应中也是十分重要的一环，up把恶意文件分析分为两个大类来讲。

• 一、常见病毒木马样本分析

这类简而言之，那就是市面上拥有姓名的病毒or木马文件，什么老一辈的灰鸽子啊，现在新型的银狐，还有Windows提权的土豆家族这种，最简单的方式就是放入云沙箱一查杀，底细十分清楚。

因为up前段应急碰到了土豆家族，这里拿烂土豆来举个例子吧。

简单明了，土豆提权，主要的作用就是拿来提权的，各种形状等网络上搜得到的，不用太担心。银狐这种比较新型的木马可能现有的资料较少，也可以采用up的第二类方法，一会会说到。

包括webshell也是一样的分析方法，webshell还需要分析的最多就是冰蝎和哥斯拉，可能做了二开，去特征、免杀，本质作用没变。

其他的已知的木马病毒（主要是木马）即使有变种或者做了免杀，基本不会改定太多原本功能性上的东西，主要是为了规避杀软和隐藏，木马始终是一个攻击者的媒介，是为了后渗透而做的后发制人的“武器”。

到这一步就已经知道恶意文件具有什么样的特殊功能了，就拿土豆来说，提权利用的也是Windows操作系统的底层漏洞，对相应位置进行做修补填补等紧急措施就可以了。

• 外附——上传了黑客工具

其他类型的木马可能有修改注册表或者上传了恶意工具的，我放在这里讲，红队嘛，或者黑客，只拿下了某台服务器一定不是最终目的黑客上传的工具也是恶意文件分析的一环，因为从他上传的工具以及跑工具的结果就能推测出目前的一个形式，系统遭受攻击的程度。

正常来讲就两类工具，探测类和利用类，一般了不起传个做过二开免杀的fscan、nmap来扫一下网段，或者mimikatz抓取哈希、制作令牌权限维持或者执行提权等，由于时间差，在发现攻击行为后及时进行应急响应，攻击者是来不及删除相关工具和结果，更不用提相关日志等痕迹（很多攻击者也是粗心大意不会顾及这些的，up亲身经历），浅浅附上一张up曾经做应急的截图，这位红队叔叔艺高人胆大，用upx套了个某安全厂商的小壳（应该只是拖进去了，没加别的，也给他过了杀软），在下佩服。不过溯源不是我做的，不知道这位红队叔叔落网没有。

• 二、未知型

这类包含了所有未出现过的木马、病毒，或者强大变种，被高度二次开发的等等等等，up自己布置了一个环境，约等于本地沙箱，内置了各种查进程（推荐移步up上几篇讲进程分析的去看看）、查壳、查调用等的工具（不是打广告和推荐工具），一键扒拉就很方便看了，当然，这里也推荐用一下云沙箱来先做一下，毕竟有虚拟机逃逸的风险，市面上的云沙箱动态分析还是到位的，主要看看针对注册表的修改和对文件的改写、权限的更改等等，主打一个查三代！

毕竟也要与时俱进，很多培训课程可能更倾向于让大家从头排查到尾一点不落，当然，时间充足的情况下当然是越细致越好，但就实际情况来看应急本来就是很紧急且仓促的一件事情，对恶意文件的分析是较为后面的事情了，紧急处理完，恢复业务后才进行的，up自己是倾向于保留样本到环境里再做下一步，（up培训的时候老师都是直接让我们多线展开，阻隔完当场原机查个透底，up觉得没什么对与错吧，看师傅们怎么想，我是觉得自己不是超人，一步步落实好就行，自己的环境肯定更加顺畅嘛，不影响溯源就行了。）

• 总结

威胁情报+云沙箱+手工分析 —>  得出结论

原文始发于微信公众号（一己之见安全团队）：应急响应篇——恶意文件分析