技巧：利用ZeroWine进行恶意软件行为分析

      Zero Wine是一个开源的(GPL v2)研究项目，用来对恶意软件的行为进行动态分析。实际上，Zero Wine只是使用WINE在一个安全的虚拟沙箱(也就是在一个隔离的环境中)运行恶意软件来收集该程序调用的API的有关信息。Wine使用调试环境变量WINEDEBUG来输出恶意软件调用过的API，当然也包括恶意软件所传递的值。有了这些信息，恶意软件的行为分析将变得非常轻松。

　　一、工作原理

　　Zero Wine是作为QEMU的虚拟机映像发行的，它带有一个已安装的Debian操作系统。这个虚拟机映像包括加载和分析恶意软件并根据收集到的信息生成报告的软件，该软件位于/home/malware/zerowine。通过正确的命令行选项运行该虚拟机，可以使用一个基于web的图形界面(一个使用Python语言编写的CGI)来加载要分析的恶意软件。

　　加载一个新的恶意软件的时候，会将其复制到/tmp/vir/MD5_OF_THE_FILE目录，以前创建的WINE环境会被删除，并对一个备份系统进行解压缩，该备份系统是/home/malware/backup/backup.tar.gz。加载后，会通过shell脚本malware_launcher.sh来执行这个恶意软件，此shell脚本存储在/home/malware/bin文件夹中。

　　需要注意的是，当前系统不允许一次分析一个以上的恶意软件，将来每当加载一个新的恶意软件文件的时候，它会放入一个队列以供今后分析之用，并且还将创建一个新的WINEPREFIX专门用于运行这个恶意软件。

　　二、使用QEMU运行虚拟机

　　使用QEMU运行虚拟机时必须提供一些必要的参数，最重要的一个参数就是 -redir tcp:8000::8000。这个参数将本地8000端口重定向到该虚拟机的8000端口。当然，您可以改变这个端口，不过要注意，在基于Unix/Linux的系统中不应该在端口80上运行它，因为这要求root权限，这会带来巨大的安全隐患：想像一下如果恶意软件逃离虚拟机并掌控了您的实际系统后会怎样。

　　当该虚拟机结束引导处理(基于Debian的操作系统的引导时间通常需要2分钟左右)后，可以用您的浏览器导航至http://localhost:8000。您将看到如下所示的一个web页面：

　　图1

　　现在可以通过该Web接口将测试文件(通常为PE格式)加载到虚拟机，指定超时时间，就可以让Zero Wine分析该程序的行为了。稍等片刻，就会受到如下所示的报告摘要：

　　图2

　　三、相关报告的介绍

　　分析结束时，会出现一个带有四个链接的报告摘要页面，这些链接分别是“report”、“Strings”、“Headers”和“Signature”。关于这些报告我们将在下面进行分别介绍。

　　完整的报告

　　我们首先有介绍的是“Report”链接，这是由WINE生成的一份完整的原始跟踪文件。 这个文件通常很大，并且也不太容易读，因为其中包含了WINE本身调用的大量应用程序接口以及恶意软件调用的应用程序接口，不过它对于全面理解程序到底做了些什么却是很有帮助的。以下是病毒MyTob的一个示例报告，我们看到这的确很长，并且读起来很晦涩：

　　图3

　　一般说来，其中的大量API调用都是WINE的内部调用，这些对我们的分析工作没有多大用处，并且对我们来说通常是枯燥无味的。请记住，虽然这些调用看上去很枯燥，但是却可能对分析的恶意软件的理解有所裨益。

　　关于字符串报告

　　Linux命令“strings”的输出。为了便于了解恶意软件，有时候您可以探索一些字符串、URL等等。以下是一个例子(MyTob)：

　　图4

　　关于文件头报告

　　这个报告展示了使用PEIdSignatures的特征码找出的用于给该程序加壳的工具(如果有的话)，以及利用开源的程序库PEFile对给定PE程序分析得到的一份详尽输出。生成的报告类似于下图：

　　图5

　　在本例中，头部似乎是遭到了破坏，这说明恶意软件试图给反汇编制造困难。

　　关于特征码报告

　　这个是当恶意软件运行后，由Zero Wine生成的最有趣的报告 这个报告展示了最令人感兴趣的API调用和值。下面的例子很容易理解：

　　图6

　　“Signature”报告告诉我们，该恶意软件创建了互斥锁“H-E-L-L-B-O-T”(进程标识符0009)，并且将自身复制到 c:windowssystem32msmgrxp.exe，然后，执行了这个文件(process 0018)。恶意软件的这个副本将检查互斥锁“H-E-L-L-B-O-T”，如果该互斥锁业已存在，则将该二进制文件拷贝到c:funny_pic.scr及其它地方。

　　有了上面的这些报告，编写一份简单的行为报告已经不成问题。

　　四、加壳软件

　　总的说来，Zero Wine能够较好地运行恶意软件，然而，当它遇到加壳软件时就会出现各种问题，例如wine几乎总是无法对付被Armadillo 加过壳的PE程序;并且，有时候“Report”和“Signature”这两个部分会同时收不到任何数据。好在“Headers”和“Strings”报告部分总能提供二进制文件(尽管不是恶意软件的行为)的有关信息。

　　五、对于Zero Wine的检测

　　对于WINE 环境的检测其实很简单。例如，可以通过注册表项HKLMSoftwareWine或者HKCUSoftwareWine来检测它。同时还可以检查所有的Windows关键系统文件的文件大小来进行检测。当运行在WINE中的时候，这些文件会小得令人难以置信，但是同样的文件在实际的Windows系统中却具有硕大的身躯。另外一种“高级”检测技术是，打开任意一个关键的Windows系统文件，并反编译入口点。当运行在WINE中的时候，反编译后将得到如下所示的一些简单指令：

　　.text:10001000 public start

　　.text:10001000 start proc near

　　.text:10001000 mov eax, 1

　　.text:10001005 retn 4

　　.text:10001005 start endp

　　对于比较懒惰的人来说，只需在.text:10001000中搜索二进制串B8 01 00 00 00 C2 04 00就可以了。

　　六、使用Zero Wine的危险性

　　首先请记住，在自己的计算机上运行恶意软件绝不是一个好主意。如果可能的话，要尽量将虚拟机(或物理机器)与现实世界隔离开来。有时候，我们迫不得已允许恶意软件连接现实世界，但请记住，这样做可能伤及无辜。更重要的是，您还必须记住，即使把WINE的沙箱配置成只能使用C盘，但是对于一个能够逸出WINE沙箱的恶意软件来说，它不仅能够跑到C盘之外，还能够波及您的物理计算机以及整个网络。

　　七、结束语

　　Zero Wine是一个开源的(GPL v2)研究项目，用来对恶意软件的行为进行动态分析。Zero Wine只是使用WINE在一个安全的虚拟沙箱(也就是在一个隔离的环境中)运行恶意软件来收集该程序调用的API的有关信息。Wine使用调试环境变量WINEDEBUG来输出恶意软件调用过的API，当然也包括恶意软件所传递的值。有了这些信息，恶意软件的行为分析将变得非常轻松。

　　本文详细介绍了Zero Wine的工作原理以及使用方法，并对Zero Wine生成的报告进行了相应的解释，最后介绍了在使用Zero Wine过程中需要注意的问题，希望本文对您的工作学习能够有所帮助。

未经允许不得转载：DOIT » 技巧：利用ZeroWine进行恶意软件行为分析