自动化逆向辅助利器 — Capa工具介绍
2020-07-28 14:35:06 Author: www.secpulse.com(查看原文) 阅读量:414 收藏

概述 

近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。

图片1.png

工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。

图片2.png

安装

使用命令:git clone --recurse-submodules https://github.com/fireeye/capa.git下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测规则。

图片3.png

下载好后,使用命令:pip install -e [path_to_capa]进行安装,安装好后,就能开始使用Capa了。

范例演示

下面主要介绍其IDA插件的使用,IDA打开样本后,点击File->Script File加载ida_capa_explorer.py脚本。

PS:该插件目前只适配于IDA7.2及以上版本。

图片4.png

本次实验使用的是BuleHero蠕虫样本(0F606E3FC83F7E8B175DDCAA39517CDD),样本加载成功后,IDA会新增一个capa explorer窗口,该窗口会显示匹配上的规则,鼠标移到上面可以看到规则的内容。

图片5.png

双击规则的Address的值,IDA会自动跳转到恶意代码相应的位置,如下,通过contain an embedded PE file规则,快速地定位到了样本中内嵌的PE文件。

图片6.png

勾上规则后,IDA会高亮显示对应的恶意代码段,从而方便逆向工程师进行分析。

图片7.png

规则的编写格式如下,第一个红框meta用于描述该规则的描述信息,第二个红框features就是用于匹配的逻辑规则,类似于yara,支持的类型有:api、string、bytes、mnemonic等。

图片8.png

了解规则的编写规范后,试着编写一个规则进行练手,如下规则仅用于演示。

可以识别出Lazarus组织的Dtrack后门。

图片9.png

将该规则dtrack.yal放到capa/rules目录下,加载样本B5AB935D750BE8B5B7C9CF3B87C772CA,插件就能自动识别出该样本为Dtrack后门。

图片10.png

capa的大致原理就是,提取样本的导入函数、字符串、汇编码,然后循环遍历规则进行匹配,实质上就是将逆向时手工筛选高危恶意代码的工作自动化,当然,对于一些高度混淆后的样本,建议先解混淆后再使用capa进行分析。

图片11.png

本文作者:深信服千里目安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/136159.html


文章来源: https://www.secpulse.com/archives/136159.html
如有侵权请联系:admin#unsafe.sh