适用于IDA Pro 7的官方VirusTotal插件
插件介绍
VirusTotal近期发布了一个针对IDA Pro v7的新型插件,该插件能够直接将VT Intelligence的内容搜索功能直接整合进IDA之中。今天给大家介绍的插件是这个Official VirusTotal Plugin for IDA Pro 7,该插件在IDA Pro反汇编和字符串窗口的右键菜单中添加了一个新的“VirusTotal”选项,以帮助研究人员直接在VirusTotal上搜索相关数据。该插件可以将用户选择的数据项转换为VTgrep可以解析和查询的数据类型。
注意:如需使用内容搜索功能,你还需要访问VT Intelligence。
该插件当前的Beta版本提供了以下搜索功能选项:
1、字节搜索:搜索所选区域中包含的字节数据。
2、字符串搜索:搜索字符串窗口中选择的字符串相同的字符串。
3、相似代码搜索:标记当前所选区域中的内存偏移量或地址,并在搜索过程中忽略这些数据。
4、相似代码搜索(严格模式):除该选项常规模式的作用之外,它还会忽略当前所选区域中的所有常量。
5、相似函数搜索:与“相似代码搜索”选项类似,但是该选项无需用户选择所有属于该函数的指令,用户只需要右键点击一条指令,该模块将自动检测函数边界,并选择当前函数的所有指令。
使用VTGrep内容搜索跟踪DTrack样本
为了演示该插件的分析过程,我们针对2019年10月份出现的DTrack样本进行了分析。插一句题外话,DTrack这款恶意软件曾在2019年9月4日被网络犯罪分子用于攻击Kudankulam核电站(KKNPP- 印度)。
实际上,这已经不是DTrack样本第一次复用之前攻击中曾使用过的代码了。如果我们搜索字符串“dkwero38oerA ^ t @#”(VT Intelligence查询语句为:content:”dkwero38oerA^t@#“),我们可以直接在VirusTotal中找到79个包含该字符串的样本,而其中有一部分就是DTrack样本。
这个字符串是压缩“C.TMP”文件的密钥,而“C.TMP”文件则包含了”C:/”中的文件和目录,其中一个zip文件对应一个连接到的设备。这里还有另一个有意思的字符串:“abcd @ 123”,这个字符串可以用来对包含了所有收集证据的zip文件进行加密。在VirusTotal数据库中,第二个字符串总共出现了9次。
这个搜索结果可以作为我们的分析切入点,除此之外,我们还可以查看和分析Virus Total数据库中的类似代码来辅助我们分析。如果我们选择了WinMain函数的代码,我们就可以查看到Virus Total返回的其中一个样本:
当然了,我们还可以是用另一种方法来查找相关的样本。比如说,我么可以搜索相同的字符串序列,虽然生成的代码在经过编译处理之后会有变化,但字符串在代码文件中的排列顺序是相同的。通过查看当前IP地址、运行进程和开放端口等字符串相关信息,我们可以直接跳转到类似的另一个样本:
插件下载地址
Official VirusTotal Plugin for IDA Pro 7:【官方地址】、【GitHub传送门