flare-qdb是由火眼实验室开发,旨在帮忙分析人员提高分析效率。flare-qdb是一个命令行工具,基于python开发,其中的虚拟代码执行使用了python的 vivisect库,工具可以很方便的用来查询和改变二进制样本运行时的状态变量,同时也可使用系统模拟等。

开发动机

在与恶意软件的对抗过程中,针对复杂的和混淆过的恶意程序,分析人员通常会使用调试的手法处理。然而在跟踪调试恶意软件的过程中,分析人员的分析过程通常是随着EIP指针的执行顺序执行而分析,而这种分析方法与恶意软件的执行流程相同,方法本身无可厚非。但由于计算机多线程的引入,以及分析人员对程序经过的状态变量并不能时刻的铭记于心,所以就不可避免的出现了这种情况:

调试的过程中有一些中间变量代表了某种状态,只有在这种状态下才会触发行为。在分析人员第一次调试的过程中,可能根本就不会注意到这种状态值,等到以后突然发现这个状态值代表的具体的含义时才恍然大悟,然后重新开始调试,这次调试就会关注到这个状态值的改变。

所以分析人员可能想很方便的查询到恶意软件的每个状态标志。类似于这样的:

SELECT eax, poi(ebp-0x14) FROM malware.exe WHERE eip = 0x401072

这就是flareqdb的使命所在,下面就讲述下这个工具在样本分析、模拟样本环境,做一些挑战类分析题目使的使用。

使用方法

flare-qdb 命令行语法为:

    flareqdb "<cmdline>" -at <address> "<python>"

分析人员可以利用flare-qdb使分析的程序在在满足某些条件下中断,可以输出执行条件,可以显示或改变程序状态等。它内部实现了类似windbg的内置函数,用于查询与修改指令。

下面列出了一些查询示例:

  • 查询传递给Beep函数的两个参数
        -at kernel32.Beep –eval "dd('esp+4', 2)"

  • 运行到0x401072指令时,如果eax为空的话,就结束程序的运行
        -at 0x401072 -if eax==0 -eval "kill()"

  • 在 运行到malwaremodule+0x102a 时,将ecx的值修改为'(ebp-0x14)eax'的值
        -at malwaremodule+0x102a -eval "r('ecx', '(ebp-0x14)
    eax')
        

  • 运行到0x401003 时,改变ebp-0x14'内存值
        -at 0x401003 -eval "memset('ebp-0x14', 0x2a, 4)"
        
    ###命令行的使用

以循环处理字符串为例,下图显示使用flareqdb 工具显示出每次循环时,局部变量(放在栈空间中的)把指向的字符串的内容。这表明argv[1]传递进来的字符串被赋值给局部变量用来循环操作。

再举一个2016 FLARE-On 挑战赛的粟子,题目地址
这道题目的解题思路是:在flareon2016challenge.dll中,包含一个加密过的PE,这个加密过的PE会调用一系列的kernel32!Beep函数,每次调用kernel32!Beep函数时的参数组成一个序列,这个序列最后做为ordinal #50函数的参数,就能得到最终的Flag.
这种功能在flareqdb中如此EASY,下面一条命令就可以搞定.

flare-qdb 可以修改执行分支,显示函数指针的值,并通过反汇编函数(方便分析人员验证函数指针是否指向一个正常代码的函数)。

在下面的例子中,恶意软件与CC地址通信后取得到数据后,运行到下面的代码处。可以看到代码中功能:先验证数据的格式,然后调用了C++虚函数。可见,如果能够识别出这个虚函数,分析人员就可以更加大胆更加肆无忌蛋的推测CC地址返回的数据格式的内容。

使用flare-qdb 工具,使用-r命令改变程序流程从而绕过CC数据的格式检查,随后在运行到0x4029a4时把函数地址dump出来。基于vivisect库的强大功能,flareqdb 可以显示出函数地址的指令,从而可以用来判定函数地址是不是一个真正的函数。
命令行的含义是:在 运行到0x4016b5是,把EIP的值修改为0x4016bb(绕过CC地址返回的数据的格式的检查),然后在运行到0x4029a4时dump函数。

在虚函数的地址0x402f32处,通过IDA可以显示出为basic_streambuf::xsputn函数,这个函数功能是向文件流中插入一系列的字符。这说明恶意软件有通过CC地址提供文件名或者文件数据来执行文件的写入功能。

使用flareqdb的python模块

在对付一些更复杂的情况时,作为python模块存在的flare-qdb就可以大展身手了。flare-qdb 允许使用功能强大的vivisect库,如下图显示了一个提权工具的部分代码。提权工具在使用提权漏洞 CVE-2016-0040之前,调用 GetVersionExW, NetWkstaGetInfo,  IsWow64Process 函数判断程序的运行环境。

显然,提权工具本打算运行在32位windows5.1+, 6.0, and 6.1系统中。通过下图中的脚本,使提权工具运行12次,通过模拟不同的GetVersionExW和NetWkstaInfo函数返回来验证提权工具的运行环境。每次执行程序时,flare-qdb都会检测程序是不是运行到尝试提权代码。将定义为局部变量的字典传递给Qdb实例用于每次执行,在脚本中打印出当前正在模拟的WINDOWS版本。GetVersionExW函数在返回之前通过OSVERSIONINFOEXW类型修改后进行返回。NetWkstaGetInfo函数只是手工进行了修改,这是因为缺少对WKSTA_INFO_100 结构的定义。

运行结果:

对于下面的例子,我们先假设分析人员遇到的情况:解密二进制--->确定解密出代码注入的地址--->解密二进制--->确定解密出代码注入的地址--->解密二进制………………

使用flare-qdb来简化上面的过程:
在对应的CALL尾部设置断点,使用vivisect的envi模块枚举所有的未命名的RWX内存区域。然后在调用detach()之间使用park()函数,目的是使代码在一个无限循环中运行。此后分析人员可以使用调试器ATTACH到进程中,进行后续人工分析。

可以看到,在使程序死循环与detach之前,脚本打印出了注入的地址,

使用IDA附加可以看到,flare-qdb在入口处写入了死循环。park()函数会将程序的原始的字节存储在jmp指令的后面。分析人员可以通过命令windbg命令r eip=1DC129B到程序原始内容处执行。

这种暂停进程的方式可以更方便的快照恶意软件执行VM,可以远程连接到IDA作为调试器,IDA会方便的显示出代码区域。 因为相同的操作系统进程可以用于多个调试会话,所以脚本生成的内存映射在调试会话中保持不变。 这也就意味着当多次调试程序时,在IDA Pro中创建的注释仍然是有效的(这里的有效,是指不会由于调用VirtualAlloc返回的地址的不同而代码位置改变)。

总结

flare-qdb提供了命令行工具,可以快速查询二进制的状态内容。 除了查询状态,flare-qdb可以用来改变程序流程和模拟不同系统场景。 对于复杂的情况,flare-qdb提供了脚本脚本。可以使用脚本处理诸如字符串解码,恶意软件解密等过程。

github下载地址

原文链接

点击收藏 | 1 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖