首页 > 其他分享 >Cyberchef实用功能之-模拟沙箱的文件静态分析能力

Cyberchef实用功能之-模拟沙箱的文件静态分析能力

时间:2024-08-27 08:58:29浏览次数:14  
标签:分析 文件 实用功能 Cyberchef 样本 cyberchef 沙箱

本文将介绍如何使用cyberchef 提取文件的重要元数据的信息,根据自己的需求实现沙箱中的静态文件的分析能力。

在网络安全日常的运营,护网行动,重保活动的过程中,样本的分析是一个重要的过程,这些可疑或者恶意的样本的来源有如下几种:

  • 数据包流量中提取的样本
  • EMAIL邮件附件中提取的样本
  • EDR软件中发现的样本
  • 通过发现的C2等链接下载的样本

无论哪种方式,都需要对可疑或者恶意的样本进一步的分析以及确认。对于已知的样本,通过sha1等hash去到对应的威胁情报平台查询即可。对于未知的样本,往往需要在进行动态的分析以及静态的分析。动态的分析由于要实际的运行软件,因此常见的方法是在沙箱进行运行。而静态分析包括针对文件的格式信息以及可视字符串分析,这往往是针对可疑样本分析的第一步。常见的沙箱也是具备这样的静态分析功能,如下图恶意样本的沙箱分析,链接,这里

在这里插入图片描述

可以看到沙箱针对文件的静态分析包括如下几个方面:

  • 基础信息,主要是文件大小,格式,以及各种hash。由于MD5,SHA1等各种hash是文件在网络中的唯一标识,这块对于文件的共享实际文件的识别非常的重要.
  • 元数据信息,主要是各种格式文件的头部信息,包括文件的类型,时间戳,软件版本,操作系统等。文件类型和操作系统对于识别影响的操作系统平台很重要。
  • 文件深度分析,主要是针对文件的签名,文件库以及dll 调用。
  • 字符串信息,样本中含有明文可读的字符串,例如IP地址,URL地址,命令行命令等,通过提取这些字符串,能够对于样本潜在的行为有一个初步的认识,都用于快速的判定样本是否恶意。

上述的几个方面个都是帮助分析人员从不同的角度认识文件,从而对于文件是否恶意,提取潜在的IOC,以及根据不同的信息进行关联等等。虽然沙箱是非常全面·的功能,但是具有如下的问题:

  • 对于外部的沙箱,样本数据都是需要上传到外部非互联网沙箱,样本存在泄露的风险。
  • 对于内部沙箱,需要购买,很多企业并没有自己的内部沙箱。
  • 沙箱的分析是一个比较通用的分析,如果想要提取分析者指定字段可能无法定制
  • 有的环境中不允许文件的拷贝,只能在本地进行分析。
  • 很多时候文件并不是以文件形态存在,需要现将文件从字符串等形态先进行还原

基于上述的一些问题,cyberchef能够帮助SOC或者安全分析师对于文件先进行基本的判断,确定文件的一些基本特征。

本文将介绍将使用cyberchef对文件进行静态分析的方法,作为我的专栏《Cyberchef 从入门到精通教程》中的一篇,详见这里

样本

出于学习的目的,本文使用的样本为Wireshark中正常的可执行程序text2pcap.exe,是一个非恶意的文件,对应的连接,这里,如下图为沙箱所显示的文件静态信息:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
针对沙箱提供的基础信息,元数据信息,格式深度信息,明文字符串信息,则分别尝试使用对应的工具进行替换实现,

基础信息

可以看到上述的文件会计算文件的多种hash,在cyberchef中的hashing大类中的Generate all hashed提供了诸多的hash计算能力,如下图:
在这里插入图片描述
可以看到对于常见的hash包括MD5,sha1,sha256,SSDEEP Cyberchef都是支持的,对于模糊impfuzzy,TLSH并没有提供支持,这块是需要cyberchef加强的。可以自行编写这些Hash的js脚本,加入到cyberchef的功能中,并不是很复杂,详见的操作不走见这里,是这些常见的hash基本能够满足日常大部分的需求。

元数据信息

沙箱中对于元数据信息使用的工具名称为ExifTool,Cyberchef并没有实现了该tool的功能,如果想要使用exiftool工具中提取的文件信息,例如可以到对应的官网进行下载,离线使用。关于该工具的使用,详见我的专栏《安全分析师工具篇》,这里

文件深度分析

Cyberchef暂时并没有实现PE的文件分析功能,实现了ELF info的展示,详见ELF info操作。关于PE文件的分析可以使用对应的工具,详见微软官方文档,这里

字符串信息

针对字符串信息的提取,这块是cyberchef的强项,可以看到Cyberchef的strings操作支持多种的编码,和指定长度字符串的提取,相对比较的灵活,如下:
在这里插入图片描述
如果被提取文件中的字符串较多,可以提取更加具体的内容。在网络安全领域,更加关注的是IP/URL/domain/email/file path等IOC的 信息,Cyberchef针对这些信息提供了单独的提取操作,如下图:
strings

因此,可以看到,通过cyberchef以及exiftool工具,能够完成本地绝大多数的恶意软件静态的初步分析,为后续逆向专家的深入分析提供参考依据。

定制分析

我原本的想法是构建一个cyberchef的脚本,将安全分析师最为常见关注的文件属性,例如MD5,sha1,sha256,文件大小,文件类型,文件格式,IP/URL/domain,明文字符串等形成脚本文件,这样每当需要分析静态特征的时候可以直接使用或者自动化。但是发现无法让cyberchef同时执行多个操作,让cyberchef同时执行多个操作在cyberchef的issue中被提及过,但是没有实现,详见这里,目前只能够通过Cyberchef的多个tab功能进行近似实现,但是这种方法无法做到完全脚本化。缺点是需要导入文件多次,期待cyberche后续f能够实现该项功能。

后续将会介绍利用cyberchef对文件进行yara以及sigma规则匹配的能力,见我的专栏文章《Cyberchef实用功能之-模拟沙箱的文件规则检测》详见这里,。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里

标签:分析,文件,实用功能,Cyberchef,样本,cyberchef,沙箱
From: https://blog.csdn.net/javajiawei/article/details/141148770

相关文章

  • 云原生周刊:Score 成为 CNCF 沙箱项目|2024.08.12
    开源项目推荐KubeOneKubermaticKubeOne自动化管理您所有云环境、本地环境、边缘计算和物联网环境中的集群操作。KubeOne可以安装高可用(HA)的主集群,也可以安装单主集群。MayflyMayfly是一个Kubernetesoperator,使您可以使用基于时间的资源。它会在指定时间创建或删除资源。......
  • SpringBoot整合支付宝沙箱支付流程(干货·精简版)Java毕业设计亮点 通俗易懂
    ......
  • python 栈帧沙箱逃逸
    基础理论什么是生成器生成器是python中的一种特殊的迭代器,在每次生成值以后会保留当前状态,以便下次调用可以继续生成值.python中生成器通过yield关键词进行定义,每次调用的时候返回一个值,并保持当前状态的同时暂停函数的执行.当下一次调用生成器的时候,函数会从上次暂停的位......
  • 【分享】WinRAR五大实用功能详解:让文件管理更高效
    WinRAR作为一款功能强大的压缩和解压缩工具,拥有许多实用功能。今天来分享其中的5个功能,一起来看看这些功能如何设置吧!功能一:文件压缩文件压缩是WinRAR的基本功能,通过压缩文件可以减少存储空间和传输时间。1.选择要压缩的目标文件或文件夹,右键点击并选择【添加到压缩文件.........
  • 个人计算机项目简介:“沙箱”
    发展历程“沙箱”项目,最早开始于本人大二的暑假,并在大三的寒假设计出了第一个demo(不过说起来当时还不叫“沙箱”)。在最开始设计的时候,这一项目被称为“VirtualAssemble”虚拟汇编,并先后迭代了两个版本。但是在第二个版本中,虚拟汇编出现了严重的内存覆盖问题。为了彻底解决这一......
  • 云原生周刊:Score 成为 CNCF 沙箱项目|2024.7.15
    开源项目TridentTrident是由NetApp维护的全面支持的开源项目。它从头开始设计,旨在通过行业标准接口(如容器存储接口CSI)帮助您满足容器化应用程序对持久性存储的需求。MonokleMonokle通过提供用于编写YAML清单、验证策略和管理实时集群的统一可视化工具,简化了创建、分析......
  • 反向沙箱怎么在安全场景中进行应用?
    在现代信息安全管理中,沙箱技术被广泛应用于保护敏感数据和系统免受外部威胁。深信达沙箱技术通过沙箱模式运用正向沙箱,反向沙箱,为保密系统提供了灵活而有效的安全防护方案。反向沙箱反向沙箱模式下,主机位于高安全区,不与外部互联网连接,运行涉密系统。沙盒空间则位于低安全区,......
  • 以沙箱的方式运行容器:安全容器Kata Containers
    目录一.系统环境二.前言三.KataContainers简介四.Gvisor与Kata区别对比五.配置docker使用kata作为runtime5.1安装docker5.2安装kata5.2.1在线安装(不推荐,下载非常慢)5.2.2使用rpm包离线安装(推荐)5.3配置docker支持kata作为runtime5.4docker使用kata作为runtime创建容器六......
  • 以沙箱的方式运行容器:安全容器gvisor
    目录一.系统环境二.前言三.安全容器隔离技术简介四.Gvisor简介五.容器runtime简介六.docker容器缺陷七.配置docker使用gVisor作为runtime7.1安装docker7.2升级系统内核7.3安装gvisor7.4配置docker默认的runtime为gVisor7.5docker使用gVisor作为runtime创建容器八.配置contain......
  • 【最新鸿蒙应开发】——HarmonyOS沙箱目录
    鸿蒙应用沙箱目录1.应用沙箱概念应用沙箱是一种以安全防护为目的的隔离机制,避免数据受到恶意路径穿越访问。在这种沙箱的保护机制下,应用可见的目录范围即为应用沙箱目录。对于每个应用,系统会在内部存储空间映射出一个专属的应用沙箱目录,它是(“应用文件目录与应用文件路径......