今天,我们发布了全新的 2.1 版 McAfee FileInsight。你可以从 Avert 工具站点下载免费版本。FileInsight 是一个适用于网站和文件分析的易用的集成工具环境,具有诸多出色特性:十六进制编辑、内置解码器、内置计算器、反汇编程序、JavaScript 脚本支持、基于 Python 的插件系统等。
现在,让我们通过剖析一个恶意软件攻击示例的各个阶段,来了解它的一些分析功能 — 但不要在家里尝试这一“特技”,除非你知道自己要干什么,一个安全、隔离的实验室环境对于开展此类研究工作绝对必要。
上面的截屏图片显示了某个初始的恶意网站,该网站试图控制你的浏览器,将你重新定向到一个或多个攻击威胁。其中之一是利用 Microsoft DirectShow Video ActiveX 控件漏洞 (MS09-032) 实施的攻击(McAfee Virus Scan 将其拦截为 “Exploit-MSDirectShow.b”,McAfee Gateway Anti-Malware 将其拦截为 “BehavesLike.Exploit.CodeExec.EBEO”)。
要得到实际 Shellcode 需要 JavaScript 解压缩步骤。JavaScript 代码分散在若干个脚本文件中,并可以被自定义编码。在上图显示的界面中,我们将恶意代码放入 FileInsight 的 Scripting 窗口,在该窗口可以对其进行反混淆。
当我们到达 Shellcode 阶段,就可以直接在内置反汇编程序中查看 Shellcode。反汇编程序窗口还具备递归遍历功能,可自动生成递归调用点标识。 它可以执行调出操作 (CALL-to-POP) 以确定混淆载荷的实际内存位置,设置并循环调用来对载荷进行解码,然后执行,一个下载 XOR-混淆的执行程序,该可执行程序产生的最终结果是一个 UPX-压缩的后门程序(McAfee Gateway Anti-Malware 将其拦截为 “LooksLike.Win32.Suspicious.C”)。 高级用户还可能希望深入研究一下 FileInsight 基于 Python 的插件系统,但需要注意的是:借助极其简洁的 Python 语言编写插件容易使人上瘾! |