对MSI类型恶意文件检测的思考

这几年工作的方向与恶意文件检测密切相关，踩坑与接触新的思路，期间也有了新的体会和想法，还是得在适当的时间里能记录下来自己的一些思考，方便未来回顾。

这两年的时间里银狐类木马出现的频率较高，在这些恶意文件里msi类型文件出现的概率也高，作为网络安全方向里的防御检测方向，自然也需要面对这个问题。

最近几个月大部分msi类型恶意文件出现了无法被沙箱系统跑出核心行为的情况，同时基于静态维度的杀毒引擎对其检测效果很差。在这些因素下，这类样本检测存在困难，因此可以说当前又出现了一类较难检测的恶意文件。为了检测这类难检测的恶意文件，需要付出努力思考应对的解决方案。

MSI是Microsoft Installer的简写，它使用微软提供的标准安装卸载界面，本质上MSI就是一个数据库，包含该软件的所有必要数据。此时MSI类型文件相当于给核心恶意文件加装了一层“壳”，攻击者使用MSI类型文件作为恶意文件投递本质上是利用了系统提供的正常的静态隐藏手段来隐藏自己核心恶意文件的特征，因此对于基于静态特征维度的杀毒引擎来说检测效果会受到影响。

作为分析人员，通过分析这类样本发现主流云沙箱均无法获取到必要的完整行为。在不直接动手逆向分析的前提下得到了这个结论，结论是这类样本存在反虚拟化策略，不过不存在反调试策略，因此基于虚拟化环境而构建的沙箱行为分析系统遭遇了对抗。结果是跑完沙箱后行为无法释放出来，作为分析人员也拿不到对应的IOC数据，想扩展威胁情报数据的目的也受到了阻碍。

从防御的角度观察，我们需要应对威胁，如果仅仅通过手工去分析这类样本，得到了一些明显的异常行为或者回连的C2地址等信息，最后像八股文一样写一个简短的文章就结束了，那么实质是解决不了这类威胁的，分析与写文章仅仅是手段，我们的目的是应对最新的威胁，然后尽量低成本的解决威胁，避免遭受损失，不能本末倒置，而且样本是死的，威胁是持续变化的，应对的策略要尽量考虑成本与投入。

根据自己的经验，首先还是得从内心上认为自己能想出办法解决这类威胁，一个人充满自信是比较重要的。其次是得锤炼出适合自己的方法论。

如下是自己思考的一个过程：

1、立足快速检测的策略，当前有没有低成本的解决方法？

2、基于攻击者的角度，频繁选择msi类型文件的目的是什么？

3、回到自身角度，我们的目的是检测，我们不可能同时拥有足够的资源和优秀的检测系统，那么如何在已拥有的检测系统的环境下实现这类威胁的检测呢？

其实这些问题就是我一直在思考或者实践的过程，接下来比较细致地思考记录下来。

如果要快速检测，那么去优化沙箱系统就是当前不合适的动作，对于这类存在反虚拟化策略的样本，其内部必定有对应的代码逻辑实现，那么必须得人工去细致分析得到反虚拟化的原因是什么？这个过程非常耗时，没法快速解决对抗问题并提升沙箱系统的应对能力，该方法应当不是首选的。

攻击者选择msi类型文件实现投递恶意文件，其本质还是基于将核心恶意特征无损隐藏到正常程序或流程中的目的而产生的，一个恶意文件的表现越正常越接近于正常文件的行为或特征，那么它被检测出恶意文件的可能性就会越来越小，同理也是如此。由于行为上我们无法获取到更多有用信息，因此还是得立足于特征这个维度。采用比较经典的思路就是解包的策略，这部分以往是属于对加壳文件的检测所应用的，一个恶意文件有了壳，避免了恶意特征的暴露，但壳本身就是一个异常信息，这也导致攻击者在伪装恶意文件为正常文件的历程中会选择msi类型作为“壳”的载体。检测的哲学在于精准找到恶意文件的本质，“专门设计用于破坏、损坏或获得未经授权的访问计算机系统的软件”。

有了思路，就可以验证，这部分涉及到效果与如何有效检测达到目标并确保误报率符合要求和每个人所处的检测系统的环境有关，这里就不展开了。

原文始发于微信公众号（OnionSec）：对MSI类型恶意文件检测的思考