恶意软件实验室指南
恶意软件实验室指南#
unJaena AI 恶意软件实验室能够自动分析可疑文件并评估其威胁等级。系统集成了 YARA 规则扫描、CAPA 行为分析和 Ghidra 静态分析,提供全面的恶意软件分析能力。
样本上传#
上传方式#
- 进入恶意软件实验室页面。
- 点击上传样本按钮。
- 选择待分析文件,或直接拖放至上传区域。
- 上传完成后,分析流水线自动启动。
支持的文件类型#
- 可执行文件:PE(
.exe、.dll)、ELF、Mach-O - .NET 程序集:
.dll、.exe(.NET) - 脚本文件:PowerShell(
.ps1)、Python(.py)、JavaScript(.js) - 文档文件:含宏的 Office 文档
- 压缩包:ZIP、RAR、7z(分析前自动解压)
安全须知#
- 所有样本均在隔离环境中处理。
- 样本在配置的保留期限后自动删除。
- 上传敏感文件前,请先核验文件哈希值。
YARA 扫描结果#
YARA 扫描使用 160 余条检测规则对上传文件进行匹配,识别恶意软件特征模式。
结果解读#
扫描结果包含以下信息:
匹配规则列表:
- 规则名称:检测所使用的 YARA 规则名称
- 严重程度:严重 / 高 / 中 / 低
- 类别:RAT、窃密器、勒索软件、木马、后门等
- 匹配模式:在文件中发现的具体特征模式
严重程度分级:
| 严重程度 | 说明 | 示例 |
|---|---|---|
| 严重 | 需要立即处置的恶意软件 | 勒索软件、APT 相关工具 |
| 高 | 具有明确恶意行为特征 | RAT(远控木马)、信息窃取器 |
| 中 | 包含可疑特征 | 使用加壳工具、代码混淆 |
| 低 | 存在潜在风险因素 | 可疑字符串、API 调用 |
社区规则集#
系统集成了经过验证的社区规则集,包括 YARA-Rules、Signature-Base 和 Malpedia,可检测最新威胁。
CAPA 分析结果#
CAPA 对二进制文件执行基于行为的分析,从行为角度识别文件具备的能力。
分析结果组成#
检测到的能力: CAPA 能够自动识别二进制文件中的以下能力:
- 文件操作:文件读写、删除、加密
- 网络通信:HTTP 请求、Socket 连接、DNS 查询
- 进程操作:进程创建、代码注入、权限提升
- 注册表操作:注册表项的创建、修改、删除
- 信息收集:系统信息、浏览器数据、凭据访问
- 防御规避:反调试、反虚拟机、代码混淆
- 持久化:自启动注册、服务创建、计划任务
MITRE ATT&CK 映射: 每项检测到的能力均自动映射到 MITRE ATT&CK 框架中的对应技术,帮助系统化理解恶意软件的战术和技术。
支持的文件类型#
- PE(32位、64位)
- ELF
- Mach-O
- .NET 程序集
- Shellcode
静态分析(Ghidra)#
Ghidra 是由美国国家安全局(NSA)开发的开源软件逆向工程框架。unJaena 平台使用 Ghidra 的无头模式执行自动化静态分析。
分析内容#
二进制结构分析:
- 节区信息:代码段、数据段和资源段的大小及熵值
- 导入表:使用的库和 API 函数列表
- 导出表:对外暴露的函数
- 字符串分析:提取二进制文件中有意义的字符串
代码流程分析:
- 关键函数识别:检测包含核心逻辑的函数
- 可疑 API 调用:VirtualAlloc、WriteProcessMemory、CreateRemoteThread 等
- 控制流图:程序的逻辑执行流程
熵值分析#
高熵值可能表明数据经过压缩或加密:
- 0-3:结构化数据(代码、文本)
- 3-6:一般二进制数据
- 6-7.5:压缩或加壳数据
- 7.5+:高随机性(可能为加密数据)
分析报告#
全部分析完成后,系统将生成综合分析报告。
报告结构#
-
概要
- 最终判定:恶意 / 可疑 / 安全
- 综合风险评分(0-100)
- 主要威胁类型分类
-
YARA 扫描结果
- 匹配规则列表及详情
- 检测到的恶意软件家族
-
CAPA 行为分析
- 检测到的能力列表
- MITRE ATT&CK 映射结果
-
静态分析结果
- 二进制结构概要
- 可疑 API 调用列表
- 字符串分析结果
-
AI 综合评估
- 基于上下文的风险评估
- 相关威胁情报
- 建议处置措施
报告使用#
- PDF 导出:以专业报告格式下载为 PDF
- 共享:与团队成员共享分析结果
- IOC 提取:提取检测到的威胁指标(Indicators of Compromise)列表