Cyberchef实用功能之-模拟沙箱的文件静态分析能力

2024-08-27 05:12

本文主要是介绍Cyberchef实用功能之-模拟沙箱的文件静态分析能力,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文将介绍如何使用cyberchef 提取文件的重要元数据的信息,根据自己的需求实现沙箱中的静态文件的分析能力。

在网络安全日常的运营,护网行动,重保活动的过程中,样本的分析是一个重要的过程,这些可疑或者恶意的样本的来源有如下几种:

  • 数据包流量中提取的样本
  • EMAIL邮件附件中提取的样本
  • EDR软件中发现的样本
  • 通过发现的C2等链接下载的样本

无论哪种方式,都需要对可疑或者恶意的样本进一步的分析以及确认。对于已知的样本,通过sha1等hash去到对应的威胁情报平台查询即可。对于未知的样本,往往需要在进行动态的分析以及静态的分析。动态的分析由于要实际的运行软件,因此常见的方法是在沙箱进行运行。而静态分析包括针对文件的格式信息以及可视字符串分析,这往往是针对可疑样本分析的第一步。常见的沙箱也是具备这样的静态分析功能,如下图恶意样本的沙箱分析,链接,这里:

在这里插入图片描述

可以看到沙箱针对文件的静态分析包括如下几个方面:

  • 基础信息,主要是文件大小,格式,以及各种hash。由于MD5,SHA1等各种hash是文件在网络中的唯一标识,这块对于文件的共享实际文件的识别非常的重要.
  • 元数据信息,主要是各种格式文件的头部信息,包括文件的类型,时间戳,软件版本,操作系统等。文件类型和操作系统对于识别影响的操作系统平台很重要。
  • 文件深度分析,主要是针对文件的签名,文件库以及dll 调用。
  • 字符串信息,样本中含有明文可读的字符串,例如IP地址,URL地址,命令行命令等,通过提取这些字符串,能够对于样本潜在的行为有一个初步的认识,都用于快速的判定样本是否恶意。

上述的几个方面个都是帮助分析人员从不同的角度认识文件,从而对于文件是否恶意,提取潜在的IOC,以及根据不同的信息进行关联等等。虽然沙箱是非常全面·的功能,但是具有如下的问题:

  • 对于外部的沙箱,样本数据都是需要上传到外部非互联网沙箱,样本存在泄露的风险。
  • 对于内部沙箱,需要购买,很多企业并没有自己的内部沙箱。
  • 沙箱的分析是一个比较通用的分析,如果想要提取分析者指定字段可能无法定制
  • 有的环境中不允许文件的拷贝,只能在本地进行分析。
  • 很多时候文件并不是以文件形态存在,需要现将文件从字符串等形态先进行还原

基于上述的一些问题,cyberchef能够帮助SOC或者安全分析师对于文件先进行基本的判断,确定文件的一些基本特征。

本文将介绍将使用cyberchef对文件进行静态分析的方法,作为我的专栏《Cyberchef 从入门到精通教程》中的一篇,详见这里。

样本

出于学习的目的,本文使用的样本为Wireshark中正常的可执行程序text2pcap.exe,是一个非恶意的文件,对应的连接,这里,如下图为沙箱所显示的文件静态信息:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
针对沙箱提供的基础信息,元数据信息,格式深度信息,明文字符串信息,则分别尝试使用对应的工具进行替换实现,

基础信息

可以看到上述的文件会计算文件的多种hash,在cyberchef中的hashing大类中的Generate all hashed提供了诸多的hash计算能力,如下图:
在这里插入图片描述
可以看到对于常见的hash包括MD5,sha1,sha256,SSDEEP Cyberchef都是支持的,对于模糊impfuzzy,TLSH并没有提供支持,这块是需要cyberchef加强的。可以自行编写这些Hash的js脚本,加入到cyberchef的功能中,并不是很复杂,详见的操作不走见这里,是这些常见的hash基本能够满足日常大部分的需求。

元数据信息

沙箱中对于元数据信息使用的工具名称为ExifTool,Cyberchef并没有实现了该tool的功能,如果想要使用exiftool工具中提取的文件信息,例如可以到对应的官网进行下载,离线使用。关于该工具的使用,详见我的专栏《安全分析师工具篇》,这里。

文件深度分析

Cyberchef暂时并没有实现PE的文件分析功能,实现了ELF info的展示,详见ELF info操作。关于PE文件的分析可以使用对应的工具,详见微软官方文档,这里。

字符串信息

针对字符串信息的提取,这块是cyberchef的强项,可以看到Cyberchef的strings操作支持多种的编码,和指定长度字符串的提取,相对比较的灵活,如下:
在这里插入图片描述
如果被提取文件中的字符串较多,可以提取更加具体的内容。在网络安全领域,更加关注的是IP/URL/domain/email/file path等IOC的 信息,Cyberchef针对这些信息提供了单独的提取操作,如下图:
strings

因此,可以看到,通过cyberchef以及exiftool工具,能够完成本地绝大多数的恶意软件静态的初步分析,为后续逆向专家的深入分析提供参考依据。

定制分析

我原本的想法是构建一个cyberchef的脚本,将安全分析师最为常见关注的文件属性,例如MD5,sha1,sha256,文件大小,文件类型,文件格式,IP/URL/domain,明文字符串等形成脚本文件,这样每当需要分析静态特征的时候可以直接使用或者自动化。但是发现无法让cyberchef同时执行多个操作,让cyberchef同时执行多个操作在cyberchef的issue中被提及过,但是没有实现,详见这里,目前只能够通过Cyberchef的多个tab功能进行近似实现,但是这种方法无法做到完全脚本化。缺点是需要导入文件多次,期待cyberche后续f能够实现该项功能。

后续将会介绍利用cyberchef对文件进行yara以及sigma规则匹配的能力,见我的专栏文章《Cyberchef实用功能之-模拟沙箱的文件规则检测》详见这里,。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

这篇关于Cyberchef实用功能之-模拟沙箱的文件静态分析能力的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1110730

相关文章

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

C++ 各种map特点对比分析

《C++各种map特点对比分析》文章比较了C++中不同类型的map(如std::map,std::unordered_map,std::multimap,std::unordered_multima... 目录特点比较C++ 示例代码 ​​​​​​代码解释特点比较1. std::map底层实现:基于红黑

Linux系统中配置静态IP地址的详细步骤

《Linux系统中配置静态IP地址的详细步骤》本文详细介绍了在Linux系统中配置静态IP地址的五个步骤,包括打开终端、编辑网络配置文件、配置IP地址、保存并重启网络服务,这对于系统管理员和新手都极具... 目录步骤一:打开终端步骤二:编辑网络配置文件步骤三:配置静态IP地址步骤四:保存并关闭文件步骤五:重

Spring、Spring Boot、Spring Cloud 的区别与联系分析

《Spring、SpringBoot、SpringCloud的区别与联系分析》Spring、SpringBoot和SpringCloud是Java开发中常用的框架,分别针对企业级应用开发、快速开... 目录1. Spring 框架2. Spring Boot3. Spring Cloud总结1. Sprin

Spring 中 BeanFactoryPostProcessor 的作用和示例源码分析

《Spring中BeanFactoryPostProcessor的作用和示例源码分析》Spring的BeanFactoryPostProcessor是容器初始化的扩展接口,允许在Bean实例化前... 目录一、概览1. 核心定位2. 核心功能详解3. 关键特性二、Spring 内置的 BeanFactory

MyBatis-Plus中Service接口的lambdaUpdate用法及实例分析

《MyBatis-Plus中Service接口的lambdaUpdate用法及实例分析》本文将详细讲解MyBatis-Plus中的lambdaUpdate用法,并提供丰富的案例来帮助读者更好地理解和应... 目录深入探索MyBATis-Plus中Service接口的lambdaUpdate用法及示例案例背景

MyBatis-Plus中静态工具Db的多种用法及实例分析

《MyBatis-Plus中静态工具Db的多种用法及实例分析》本文将详细讲解MyBatis-Plus中静态工具Db的各种用法,并结合具体案例进行演示和说明,具有很好的参考价值,希望对大家有所帮助,如有... 目录MyBATis-Plus中静态工具Db的多种用法及实例案例背景使用静态工具Db进行数据库操作插入

CSS模拟 html 的 title 属性(鼠标悬浮显示提示文字效果)

《CSS模拟html的title属性(鼠标悬浮显示提示文字效果)》:本文主要介绍了如何使用CSS模拟HTML的title属性,通过鼠标悬浮显示提示文字效果,通过设置`.tipBox`和`.tipBox.tipContent`的样式,实现了提示内容的隐藏和显示,详细内容请阅读本文,希望能对你有所帮助... 效