阿里安全猎户座实验室负责人杭特指出,在全球范围来看,TimePlayer 的能力是领先的、独一无二的。它出现可以说填补了安全行业的一大空白,同时也证明,二进制的黑盒性质,代码混淆的障眼法,终有失效的一天。
近日举办的看雪安全开发者峰会上,阿里安全猎户座实验室首度向外界展示了最新的研究成果——「自动逆向机器人」。该机器人可以像医生一样「望闻问切」,对程序进行显微镜级别的勘察,并完整「回放」其运作过程,因此,可以侦测出程序中的漏洞或隐蔽行为。据悉,该机器人被命名为 TimePlayer。
阿里安全猎户座实验室负责人杭特认为,逆向能力是安全从业人员必须具备的基本功。杭特打了一个形象的比方,他介绍说,「逆向」就如同医生看病一样,通过望闻问切、各种化验,甚至是 CT 核磁共振,这些手段都是为了一个目的,弄清楚病因。对程序进行逆向,就是为了弄清楚程序究竟在做什么。
杭特指出,在当前的安全行业,逆向工作基本都是不断重复的、纯体力的。而阿里安全猎户座实验室 TimePlayer 的最大价值就是可以将安全从业人员逆向工作的大部分能力完全自动化。
阿里安全猎户座实验室研究人员弗为在看雪论坛上的演讲中称,TimePlayer 集「摄像机」、「播放机」和下「显微镜」三大功能于一身。如果要分析一个程序,只需在 TimePlayer 中运行一次就可以,它会把该程序所有的行为全部忠实地记录下来,而且不会遗漏任何细节。不仅如此,TimePlayer 还可以将「拍摄」的内容进行向前放、向后放、快放、慢放,能够放大任意处的细节并且追踪任意的目标。最重要的是,TimePlayer 对于程序行为的勘察粒度达到了指令级别。
阿里安全猎户座实验室研究人员弗为展示「自动逆向机器人」TimePlayer
「TimePlayer 正如其名一样,摄像和播放的结果一模一样,要做到这点是非常有挑战性的。」阿里安全猎户座实验室研究人员弗为表示,「现在随便一个 APP 都有几十亿条指令,如果要逆向这些 APP,TimePlayer 一条指令都不会遗漏。」
弗为在演讲中,以臭名昭著的 WannaCry 勒索病毒为例,现场演示了如何通过 TimePlayer 在系统内核中精确定位,找回 RSA 私钥。据弗为介绍,由于 WannaCry 勒索病毒刻意地删除了本机的「私钥」,因此,理论上只能掏钱向勒索者获取,这曾经使得诸多安全厂商束手无策,但阿里安全猎户座实验室的研究人员通过 TimePlayer 独家发现,「私钥」实际上在用户态和内核态均有残留,且相较于暴力搜索用户态内存方法,精准的内核态残留提取更为稳定。
另外,弗为还演示了如何通过 TimePlayer 逆向超级复杂的文件格式。弗为在演讲中表示,即便是逆向 DOC 这类超级复杂的文件格式,也是轻而易举——只需要把 DOC 文档放到 TimePlayer 中打开,就能自动化地对文件进行分析。以前要好几个人耗费数年时间的分析工作,TimePlayer 几天时间就可以搞定,而且无需人员参与。
众所周知,攻防是个对抗的过程。为了对抗人工逆向,防护人员开发了各种各样的工具和产品提升逆向难度,其中最有名的叫做「虚拟机壳」。弗为在演讲中也演示了轻松突破这种「迷魂阵」的方法,那就是用 TimePlayer。
阿里安全猎户座实验室负责人杭特指出,在全球范围来看,TimePlayer 的能力是领先的、独一无二的。它出现可以说填补了安全行业的一大空白,同时也证明,二进制的黑盒性质,代码混淆的障眼法,终有失效的一天。
