DEF CON 27 - 炭黑(纳斯达克股票代码:CBLK),云端原生端点保护领域的领导者,今天宣布推出“Binee”,一个开源二进制文件模拟器弥补了现实世界恶意软件的静态和动态分析之间的差距。Binee使研究人员能够以成本,速度和规模从二进制文件中提取运行时数据,以前只能使用静态分析工具,为行为分析和机器学习应用程序开辟了大量的运行时恶意软件数据。
Carbon Black的威胁分析部门(TAU)研究人员Kyle Gwinnup(@ switchp0rt)和John Holowczak(@skipwich)在他们的演讲中展示了这个名为“二进制仿真环境”的工具,“ 与Binee的下一代过程仿真 ” 8月10日星期六拉斯维加斯的DEF CON 27。
通过标准静态分析进行恶意软件检测变得越来越困难,研究人员越来越依赖动态分析技术来了解他们正在研究的恶意软件的行为。不幸的是,动态分析是昂贵且耗时的,这意味着只有很小一部分可以通过这种方式进行评估。Binee解决了这一差距 - 通过模拟流程仿真以静态分析的速度和成本提供恶意软件的运行时分析。
模拟x86和其他体系结构的能力已经存在了一段时间 - 恶意软件分析师在公共领域中可以使用多种工具。但是,大多数工具都没有完全仿真,在模拟库函数或在仿真器中未实现的系统调用时停止或做一些奇怪的事情。
Binee在模拟器中创建了一个几乎相同的Windows进程内存模型,包括动态加载的库和其他Windows进程结构。Binee模拟了OS内核的大部分内容,并在整个过程中输出了具有人类可读参数的所有函数调用的详细描述,从而提供了对静态分析的恶意软件API调用和其他IOC的更深入了解。Binee提供了提取仅对动态二进制分析可见的二进制特征的能力,其成本更接近静态分析的成本。
该团队在设计该工具时考虑了两个主要用例。首先,大规模数据提取的成本和速度类似于常见的静态分析工具,其次,对于需要自定义操作系统和框架的恶意软件分析师而言,没有开辟各种虚拟机配置的开销。
“Binee可以用作恶意软件分析漏斗的关键部分 - 允许安全专业人员识别和分析恶意软件的行为属性,”研究人员说。“这反过来为行为分析和机器学习开辟了一个巨大的新数据集,提高了检测能力。我们决定开源这个工具,因为构建一个Windows模拟器很难,并且由于它为恶意软件研究人员提供了巨大的价值,我们希望有更多人参与其中,加速开发并更快地推动更完整的模拟器。