我们但愿大家能在新的一年里做的更好，尤其是能更快更有效地分析恶意软件。数年前，我构建了一个恶意软件分析沙箱脚本，用于每日的分析和逆向事情。此刻让我给大家展示下如安在几秒钟内，不用太多设置，就能进行恶意软件分析。
介绍
如果你在推特上存眷了我，或者对本博客以前的内容有所了解，你可能就会熟悉Noriben。不管怎样，我这里先做个介绍，它是一个非常简单的脚本。在范例行为的分析中，可能会在沙箱里运行恶意软件，看它会如何创建，如何运行进程，以及对系统孕育产生了什么影响。大大都团队所用的要领，是将恶意软件上传到如VirtusTotal之类的反病毒测试网站，或者钟情于在线沙箱如Malwr，或者爽性使用本地的Cuckoo沙箱。
对付那些上传文件到互联网的团队，我只能说着这种行为对APT打击来讲长短常不明智的。黑客如果有心的话，其实是可以发明他们的文件已经被上传到在线监控网站里。
本地检测恶意软件凡是可以通过Cuckoo来做，这是一个不错的开源沙箱，它可以用来分析恶意软件，获取较为全面的分析功效。然而，用这玩意儿其实挺费劲，在差此外环境里进行正确设置会相对困难。它在Linux下安置相对容易，而安置在Windows和OSX下有点蛋疼。就我而言，在外面随便拿出一个条记本电脑，就可能会需要安上沙箱开始干事。
如果你上过恶意软件分析的培训，你可能也会使用SysInternals Procmon工具来监控系统环境。某些人或许学了使用Regmon和Filemon，这些都是骨董常识了。某些人可能会使用Regshot，这工具其实此刻已经跟不上时代。
Noriben是Procmon工具的简单的包装改革，它收集了成千上万的事件，然后使用自界说的白名单设置，精简后对系统审查。下面是2015年黑帽大会Arsenal分会场进行的片段，ppt如下：

这个视频没有对工具细节自己做太多存眷，你可以看这里：

Vmware里的自动化沙箱
Noriben会要求你在沙箱里交互式运行恶意软件。在启动Noriben后，它会在你运行恶意软件时收集系统整体信息。分析人员但愿在沙箱里与恶意软件进行交互时，会使用它进行恶意指标收集，好比这个视频里的VM查抄。
Youtube地点：https://www.youtube.com/watch?v=kmCzAmqMeTY
然而，本文强调的是通过自动化的方法，直接从你的主机系统中提取，制止以上的情况。随后提交样本，接收功效呈报。
使用了Vmware里的vmrun命令后，这个脚本会将VM恢复到某已知的快照中，将恶意软件copy进去，然后运行Noriben，最后将呈报zip打包取出。从下面的命令行里，我们可以在60秒内获取某个文件的恶意软件呈报，下面是OSX下的bash脚本：
#!/bin/bash
#Noriben Sandbox Automation Script
#Responsible for:
#* Copying malware into a known VM
#* Running malware sample
#* Copying off results
#
#Ensure you set the environment variables below to match your system
if [ ! -f $1 ]; then
echo "Please provide executable filename as an argument."
echo "For example:"
echo "$0 ~/malware/ef8188aa1dfa2ab07af527bab6c8baf7"
exit
fi

DELAY=10
MALWAREFILE=$1
VMRUN="/Applications/VMware Fusion.app/Contents/Library/vmrun"
VMX="/Users/bbaskin/VMs/RSA Victim.vmwarevm/Windows XP Professional.vmx"
VM_SNAPSHOT="Baseline"
VM_USER=Administrator
VM_PASS=password
FILENAME=$(basename $MALWAREFILE)
NORIBEN_PATH="C:\\Documents and Settings\\$VM_USER\\Desktop\\Noriben.py"
ZIP_PATH=C:\\Tools\\zip.exe
LOG_PATH=C:\\Noriben_Logs

"$VMRUN" -T ws revertToSnapshot "$VMX" $VM_SNAPSHOT
"$VMRUN" -T ws start "$VMX"
"$VMRUN" -gu $VM_USER  -gp $VM_PASS copyFileFromHostToGuest "$VMX" "$MALWAREFILE" C:\\Malware\\malware.exe
"$VMRUN" -T ws -gu $VM_USER -gp $VM_PASS runProgramInGuest "$VMX" C:\\Python27\\Python.exe "$NORIBEN_PATH" -d -t $DELAY --cmd "C:\\Malware\\Malware.exe" --output "$LOG_PATH"
if [ $? -gt 0 ]; then
echo "[!] File did not execute in VM correctly."
exit
fi
"$VMRUN" -T ws -gu $VM_USER -gp $VM_PASS runProgramInGuest "$VMX" "$ZIP_PATH" -j C:\\NoribenReports.zip "$LOG_PATH\\*.*"
if [ $? -eq 12 ]; then
echo "[!] ERROR: No files found in Noriben output folder to ZIP."
exit
fi
"$VMRUN" -gu $VM_USER -gp $VM_PASS copyFileFromGuestToHost "$VMX" C:\\NoribenReports.zip $PWD/NoribenReports_$FILENAME.zip
显然，这个脚本需要你编纂部分内容，设置正确的路径。这里默认是“C:\Malware\malware.exe”，使用administrator账户运行Noriben，并输出功效到C:\Noriben_Logs\。
在这里，我们有个使用该脚本扫描恶意文件的视频：
Youtube地点：https://www.youtube.com/watch?v=Xpt6RdBElCQ
类似的，下面是一个Github上用来在Windows上跑的脚本：
Noriben Sandbox Automation Script
:Responsible for:
:* Copying malware into a known VM
:* Running malware sample
:* Copying off results
:
:Ensure you set the environment variables below to match your system
@echo off
if "%1"=="" goto HELP
if not exist "%1" goto HELP

set DELAY=10
set CWD=%CD%