Python恶意样本分析实战:从伪装到行为还原
1. 项目概述:一次真实的Python恶意样本分析之旅
最近在分析一些可疑的流量日志时,我遇到了一个名为urllib_parser.py的文件。这个名字听起来人畜无害,甚至有点像是某个网络爬虫或数据处理脚本的常用命名。但经验告诉我,在安全领域,越是看起来正常的名字,背后可能越有猫腻。果不其然,经过一番深入分析,这个文件被证实是一个典型的、伪装成正常工具的Python恶意样本。它巧妙地利用了Python生态中urllib库的广泛认知度,试图在管理员或开发者的眼皮底下蒙混过关,执行其恶意负载。今天,我就把这个完整的分析过程拆解出来,从样本获取、静态分析、动态调试,到最终的恶意行为还原和防御建议,一步步带你走完一个恶意软件分析师的常规工作流。无论你是刚入门的安全爱好者,还是想了解威胁狩猎的开发者,这篇文章都能给你提供一个清晰的实战视角。
2. 样本整体设计与思路拆解
2.1 样本伪装与入口点分析
拿到urllib_parser.py后,我的第一反应是检查它的基础信息。文件大小适中,大约几十KB,用file命令查看,确认是纯文本的Python脚本。打开文件开头几行,作者很“贴心”地写了一段注释:
#!/usr/bin/env python3 # -*- coding: utf-8 -*- """ urllib_parser - A lightweight tool for parsing and validating URLs from logs. Author: (Fake) Security Tools Dev Team Version: 1.2.3 """看,多么标准的开源工具格式。有Shebang,有编码声明,有模块文档字符串,甚至还有虚构的作者和版本号。这种伪装是恶意样本的常见手法,旨在降低分析人员的警惕性,让人误以为这是一个无害的、甚至是有用的运维脚本。它的核心思路是“披着羊皮的狼”:利用urllib这个Python标准库中用于处理URL的知名模块名作为前缀,让文件名和初始代码看起来都合情合理。
注意:在分析任何脚本时,永远不要相信文件头部的注释和元数据。攻击者会精心伪造这些信息来误导你。真正的分析必须从代码逻辑和实际行为入手。
紧接着注释的,是一大段看起来非常“正常”的导入语句和函数定义。它确实导入了urllib.parse用于URL解析,也定义了一些诸如parse_log_file、validate_url之类的函数。这些函数甚至能正常工作,如果你给它一个正常的日志文件,它真的能解析出URL。这正是这个样本高明的地方:它提供了真实的功能作为“诱饵”,使其在简单的功能测试中不会露馅,从而可能被不谨慎的用户加入到自动化流程中。
2.2 恶意逻辑的触发机制
那么恶意代码藏在哪里?它不会在脚本一开始就执行,那样太容易被发现了。经过通读代码,我发现恶意逻辑被巧妙地隐藏在两个地方:
- 条件触发函数:脚本中定义了一个名为
_check_for_update()的函数。从名字看,它像是检查工具更新的功能。这个函数会尝试连接一个远程服务器(域名看起来像tools-update.secure-lab[.]io),获取一个“版本信息”。如果连接成功且返回的特定字段满足条件,它就会触发后续的恶意行为。 - 异常处理中的后门:在主要的
run()函数或某个看似处理网络请求的异常捕获块(except Exception as e:)里,嵌入了一段经过混淆或编码的代码。当网络超时、解析错误等“正常”异常发生时,这段代码会被执行,作为备用触发机制。
这种设计思路非常典型:提供显性功能,隐藏触发条件。恶意代码作为“隐藏特性”存在,只有在特定条件(如特定的网络响应、特定的日期时间、或运行环境满足某些属性)下才会被激活。这大大增加了静态分析的难度,因为你看到的绝大部分代码都是清白的。
3. 核心细节解析与实操要点
3.1 代码混淆与字符串隐藏技术
静态分析时,我立刻注意到几个不和谐的片段。虽然大部分代码可读,但关键部分使用了简单的混淆技术:
# 示例片段 (经过还原) key_part = “”.join([chr(ord(c) ^ 0x1A) for c in “n~{zq”]) # 实际计算后 key_part 为 “config”这里使用了异或(XOR)运算来隐藏字符串”config”。攻击者将明文字符串的每个字符与一个密钥(这里是0x1A)进行异或,生成一段无意义的字符序列(”n~{zq”)。运行时再通过相同的异或操作还原。这样,在静态查看代码时,搜索字符串”config”是找不到的,必须动态调试或手动计算才能发现。
此外,样本中还使用了base64、zlib甚至简单的自定义编码来压缩和编码关键的配置数据(如C2服务器地址、要窃取的文件路径正则表达式)。这些数据通常以字符串字面量或字节字面量的形式硬编码在代码的某个角落,或者通过上述的_check_for_update()函数从网络动态获取。
实操心得:对付这种混淆,一个笨拙但有效的方法是,在安全的沙箱环境里运行脚本,并在Python的
builtins模块层面对chr、ord、base64.b64decode、zlib.decompress等函数进行钩子(Hook)或重写,打印出它们的输入和输出。这样,当恶意代码执行解码操作时,你就能在日志中捕获到原始的明文数据。
3.2 恶意行为模块分析
解码出关键字符串和配置后,这个样本的恶意行为就清晰了。它主要包含三个模块:
- 信息收集模块:遍历用户家目录、文档目录以及当前工作目录,寻找扩展名为
.txt,.pdf,.docx,.xlsx,.sql,.db的文件。同时,它会执行诸如os.environ、platform.uname()等命令收集系统信息、用户名、网络配置。更隐蔽的是,它尝试读取~/.ssh/id_rsa、~/.aws/credentials等文件,旨在窃取SSH私钥和云服务凭证。 - 持久化模块:为了实现长期驻留,它会尝试多种方法:
- Crontab/计划任务:在Linux/Mac下,向当前用户的crontab添加一条定时任务,每隔一段时间执行自身。
- 启动目录:在Windows下,将自身复制到
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup目录。 - 修改系统配置文件:如尝试在
~/.bashrc、~/.zshrc等shell配置文件中添加一行自动执行命令。
- 通信与数据外传模块:这是核心。它使用Python的
http.client或socket库,将收集到的信息进行打包(通常用zlib压缩并用base64编码),然后通过HTTP POST请求发送到攻击者控制的C2服务器。通信并非明文,数据包通常有一个自定义的头部,包含版本、机器标识等信息,而数据体是加密或编码后的。它还会尝试使用多个备用的C2域名或IP地址,确保在主域名失效时仍能通信。
4. 实操过程与核心环节实现
4.1 搭建安全的分析环境
在分析任何可疑样本前,搭建一个隔离、可控的环境是绝对必要的第一步。我绝不会在物理机或任何有重要数据的机器上运行它。
我的标准配置是:
- 虚拟机:使用 VirtualBox 或 VMware 创建一个干净的、快照过的Linux虚拟机(如Ubuntu Server)。确保虚拟机的网络模式设置为“Host-Only”或“NAT”(并关闭其向外访问互联网的权限)。这样,样本即使尝试外联,也无法真正连接到互联网,避免了数据泄露和攻击者警觉。
- Python环境:在虚拟机内,使用
venv创建一个独立的Python虚拟环境。这可以防止样本污染系统级的Python包。 - 监控工具:
strace/dtrace:用于跟踪系统调用,看它打开了哪些文件,建立了哪些网络连接。inotifywait:监控文件系统事件,看它创建、修改了哪些文件。tcpdump或Wireshark:虽然网络被隔离,但抓包可以让你看到它尝试发起连接的原始流量,解析出C2地址和端口。pspy:一个无root权限的进程监控工具,可以查看短暂的子进程。
4.2 静态分析与代码审计
在确保网络断开后,我将样本复制到虚拟机中。第一步是静态分析。
- 初步浏览:用
cat、head、tail或less快速浏览整个脚本,对结构有个大致印象。重点关注:非常规的导入(如ctypes,cryptography)、大片看似无意义的字符串或字节数据、复杂的嵌套eval/exec语句、以及异常庞大的异常处理块。 - 搜索关键词:使用
grep -n搜索一些敏感关键词,这能快速定位可疑代码段:grep -n -i “exec\|eval\|compile\|base64\|zlib\|pickle\|socket\|http\.\|requests\|subprocess\|os\.system\|curl\|wget” urllib_parser.py grep -n “\.exe\|\.dll\|\.so\|\.sh\|\.bat” urllib_parser.py # 寻找可能下载或执行的二进制文件 grep -n “/etc/passwd\|/etc/shadow\|~/.ssh\|\.aws/credentials” urllib_parser.py # 寻找敏感路径 - 手动解码:对于发现的
base64字符串或混淆的字符串,我会在隔离环境里启动一个Python交互式命令行,手动进行解码和计算。例如,对于前面的异或例子,直接输入””.join([chr(ord(c) ^ 0x1A) for c in “n~{zq”])就能得到结果。 - 绘制调用关系:对于复杂的脚本,我会用纸笔或简单的文本工具,画出主要函数之间的调用关系图。这有助于理解代码的执行流,找到那个最核心的、最终触发恶意行为的入口函数。
4.3 动态调试与行为监控
静态分析只能看到代码“说什么”,动态运行才能看到它“做什么”。在监控工具就绪后,我运行样本。
- 非交互式运行:首先,以最可能触发其“正常”功能的方式运行它,例如提供一个假的日志文件:
python3 urllib_parser.py -f dummy.log。同时,在另一个终端启动监控。# 终端1: 监控系统调用 strace -f -o strace.log python3 urllib_parser.py -f dummy.log 2>&1 # 终端2: 监控文件系统 inotifywait -m -r /home/analysis_user/ 2>&1 | tee inotify.log & # 终端3: 抓包 (需要root) sudo tcpdump -i any -w packet.pcap - 交互式调试:如果非交互式运行没有触发恶意行为(可能因为条件不满足),我会使用Python调试器
pdb或更强大的ipdb进行单步调试。
将这行代码插入到我认为可能触发恶意逻辑的函数开头(如import ipdb; ipdb.set_trace()_check_for_update),然后重新运行脚本。当执行到这一行时,程序会暂停,我可以检查当前的变量状态、单步执行、并手动修改条件(比如强制让某个if判断为True),来引导程序走向恶意分支。 - 分析输出:运行结束后,仔细分析
strace.log,查看openat、connect、execve等关键系统调用。分析inotify.log,看它访问了哪些敏感目录。用Wireshark打开packet.pcap,虽然连接会失败(因为网络隔离),但你可以清晰地看到它试图连接的目标IP和端口,以及可能的数据包结构。
4.4 核心恶意功能还原
通过动静态结合的分析,我最终还原了urllib_parser.py的主要攻击链:
- 初始执行:脚本以正常URL解析工具的身份启动。
- 环境探测:在后台,它调用
_check_for_update()。由于网络隔离,这个连接会失败或超时。 - 备用触发:连接失败会引发异常,代码跳转到异常处理块。在这个块里,藏着经过
base64编码的恶意代码字符串。except块会解码并执行 (exec) 这段代码。 - 恶意负载执行:被解码的代码开始工作:
- 收集系统信息、文件。
- 尝试在
~/.bashrc末尾添加python3 /path/to/urllib_parser.py &实现持久化。 - 将收集的数据用简单的对称加密(如再次使用XOR)混淆后,尝试向硬编码的C2地址
http://malicious-server.com:8080/upload发送HTTP POST请求。因为网络隔离,这一步会一直重试直到超时。
- 自我隐藏:执行完毕后,它会尝试删除自身在磁盘上的原始文件(如果是以临时文件方式运行的话),并清除部分日志痕迹。
5. 常见问题与排查技巧实录
在分析过程中,以及回顾以往的经验,我总结了一些新手容易遇到的问题和实用的排查技巧。
5.1 分析过程中遇到的典型问题
样本不运行或立即退出:
- 可能原因:样本包含了环境检查,例如检查调试器(
ptrace)是否存在、检查特定的用户名、主机名或进程列表。如果检查失败,它可能直接sys.exit(0)。 - 解决技巧:使用
strace查看它退出前执行了哪些系统调用。也可以使用LD_PRELOAD钩子函数来绕过简单的反调试检查,或者直接修改Python代码,将环境检查相关的函数返回值强行改为True。
- 可能原因:样本包含了环境检查,例如检查调试器(
网络请求无法触发,恶意行为不显现:
- 可能原因:就像本例,恶意行为依赖于特定的网络响应。在隔离环境中,连接失败,恶意代码可能不会执行。
- 解决技巧:搭建一个本地的伪C2服务器。可以用Python的
http.server模块快速搭建一个简易HTTP服务器,并按照样本可能期望的格式返回响应数据。这需要你从代码中推断出它期望的响应格式。另一个方法是修改样本代码,将网络请求的目标地址改为本地回环地址127.0.0.1,并在本地用nc或简单脚本监听对应端口,模拟C2交互。
混淆代码难以阅读:
- 可能原因:使用了复杂的编码、加密或代码打包工具(如PyInstaller, Py2Exe)。
- 解决技巧:对于打包的二进制,先用
strings命令提取所有可读字符串。对于脚本混淆,重点关注eval,exec,compile,marshal.loads等函数,它们的参数往往是解码后的代码。可以尝试在代码中插入print语句,在exec执行前打印出要执行的代码字符串。对于简单的加密,可以写一个小的Python脚本,模拟其解密过程。
5.2 恶意软件分析速查与防御建议表
| 类别 | 可疑迹象 | 分析/防御动作 |
|---|---|---|
| 文件与命名 | 文件名模仿合法工具(如python_updater.py,log_cleaner.py),但来源不明。 | 使用file,md5sum,sha256sum获取文件信息,上传到VirusTotal等多引擎扫描平台。 |
| 代码审查 | 存在大量base64、zlib、marshal编码的字符串;异常庞大的try...except块;可疑的eval/exec调用。 | 进行手动解码;使用ast模块解析Python代码结构;在沙箱中单步调试可疑函数。 |
| 系统行为 | 尝试访问~/.ssh/,~/.aws/,/etc/passwd;尝试修改crontab或启动目录;尝试连接外部非常用IP/域名。 | 在隔离环境使用strace,inotify监控;检查网络连接netstat或ss;分析进程树pstree。 |
| 持久化 | 在用户配置文件(.bashrc,.zshrc)、系统服务目录、计划任务中添加条目。 | 定期检查这些关键位置的变更;使用文件完整性监控工具。 |
| 预防措施 | - | 1.最小权限原则:生产环境服务使用专用低权限用户运行。 2.依赖源审查:只从官方源或可信源安装Python包,使用虚拟环境。 3.代码审计:对第三方脚本,尤其是从网络下载的,进行基础安全审查。 4.网络隔离:非必要不开放外网访问;内部服务间使用防火墙策略。 5.日志监控:集中收集和分析系统日志、应用日志,设置异常告警。 |
5.3 给开发者和运维人员的实操建议
- 不要以root身份运行未知脚本:这是铁律。永远使用普通用户权限来测试或运行来源不明的代码。
- 善用虚拟环境:
venv或conda环境不仅能管理依赖,也是一个轻量级的隔离沙箱。 - 对下载的脚本“望闻问切”:
- 望:快速浏览代码,看有没有明显恶意片段。
- 闻:用命令行工具
grep、strings嗅探敏感关键词。 - 问:思考这个脚本是否真的需要它声称的所有权限(网络、文件、进程)。
- 切:在绝对安全的隔离环境中试运行,并用监控工具把脉。
- 建立软件供应链安全意识:你项目依赖的第三方库可能被投毒。定期用
safety、pip-audit等工具扫描依赖漏洞,关注知名安全社区的动态。
分析urllib_parser.py这类样本,更像是一场与隐藏者的智力游戏。它考验的不仅是技术知识,更是耐心和细致的观察力。每一次成功的分析,不仅清除了一个威胁,更让我们对攻击者的手法多一分了解,对自身系统的防御加固多一分把握。保持好奇,保持谨慎,安全之路就是由这样一次次实战积累铺就的。