前言本文主要以各家威脅情報中心/在線沙箱在安卓惡意代碼自動化分析能力與基於逆向引擎Reactor 所研發incinerator 逆向工具進行分析能力的對比，從而讓大家更加清晰直觀的了解到彼此之間的區別，文章所測試的威脅情報中心均為公開版本（免費），並不代表各個能力平台的實際狀態，不以偏概全。

測試平台列表如下：

360 威脅情報中心（包括其沙箱）

安恒威脅分析平台（包括其沙箱）

安天威脅情報中心

綠盟科技NTI 威脅情報中心（包括其沙箱）

啟明星辰VenusEye 威脅情報中心

奇安信威脅情報中心（包括其沙箱）

天際網盟RedQueen 安全智能服務平台

微步在線惡意軟件分析平台（包括其沙箱）

VirusTotal（包括其沙箱）

測試惡意代碼樣本如下：

樣本名稱：ERMAC

哈希值

MD5:16e991d73049f1ef5b8f5fa0c075ef05

SHA-256:f4ebdcef8643dbffe8de312cb47c1f94118e6481a4faf4166badfd98a0a9c5d3

ERMAC 是由BlackRock 移動惡意軟件背後的攻擊者操作的。 8 月17 日，名為“ermac”和“DukeEugene”的論壇成員開始宣傳該惡意軟件。 ERMAC 和其他銀行惡意軟件一樣，被設計用來竊取聯繫信息、短信、打開任意應用程序，並觸發針對大量金融應用程序的覆蓋攻擊，以刷取登錄憑據。此外，它還開發了新功能，允許惡意軟件清除特定應用程序的緩存並竊取存儲在設備上的帳戶。

摘自安恒威脅情報平台

樣本名稱：FurBall

哈希值

MD5:6151b1e2e5035a8eb596ce1c37565e87

SHA-256:0d09d5e46e779d796a8d295043e5bbd90ac43705fa7ff7953faa5d8370840f93

Domestic Kitten，也稱APT-C-50，據稱是伊朗的一個黑客組織，主要是從受損的移動設備獲取敏感信息，至少從2016 年起，就一直非常活躍。 趨勢科技（Trend Micro）在2019 年一項分析報告中表示，APT-C-50 可能與另一個名為“彈跳高爾夫”（Bouncing Golf）的黑客組織有聯繫。 （Bouncing Golf 主要針對中東國家進行網絡間諜活動）。

摘自Freebuf

橫向分析對比本文將會從安卓惡意代碼分析的多個維度進行相關分析對比，鑑於部分平台不存在基於安卓的雲沙箱功能（或併未在公開/免費版本出現），所以對比的結果基於各個平台呈現的相關靜態化分析數據進行橫向對比。而LianSecurity（鏈安科技）的incinerator 作為一個綜合性Apk 逆向工程產品，並不帶有任何基於惡意代碼特徵庫、威脅情報源、沙箱等功能，所以橫向分析對比內容僅僅基於incinerator 的Apk 靜態分析能力。

鑑於我們在進行相關能力對比的時候，要有一個比較具象化的理解，究竟什麼叫好呢？或者說什麼樣的分析能力所呈現出來的分析報告會更加適合惡意代碼和威脅溯源的研究之用呢？所以我們選擇了一個比較得到大家公認的“VirusTotal”，以VirusTotal 的分析報告來看各自在安卓惡意代碼分析上面的細節以及顆粒度究竟是如何的。

圖1

從兩個樣本的靜態化分析結果來看（如圖1 左右所示），VT 對於Apk 各項信息的檢測以及呈現都是非常完善的，能夠準確的分析出樣本當中的所有關鍵信息，作為惡意代碼分析以及威脅溯源的角度來說，首先，一個專業的分析服務能夠精準詳細的把以下羅列清楚的情況下，我認為這已經是一份優秀的分析報告。

Apk 基礎信息

HASH

TrID

文件大小等

Apk 包名以及相關的信息

Apk 名稱

Apk 簽名信息

Apk 應用權限分析

風險等級劃分以及排列

Apk 行為分析

Apk 應用網絡請求

Apk 軟件成分分析

所以，接下來我們會以VT 的報告所呈現的，一一對於上面所提到的廠商進行分析能力的橫向對比，從而深度的去了解現在國內在這方面的發展以及相關技術是如何的。

360 威脅情報中心

圖2

很可惜，我們從樣本1 與樣本2（如圖2 上下所示）的分析內容我們可以得知，360 的分析報告裡面只顯示樣本的HASH、包名以及對應的IOC 信息，而對於樣本的應用行為、應用權限、網絡請求、成分分析都沒有，並且動態分析也完全沒有的，對於惡意代碼以及威脅情報研究來說，360 威脅情報中心的呈現幾乎沒有什麼幫助的。

注：360 安全大腦沙箱雲檢測失敗，Android 部分需要相關的積分以及收費，所以就此作罷。

安恒威脅分析平台

:

圖3

安恆在兩個樣本的分析上（如圖3 上下所示），與360 一樣能夠準確判斷出樣本的家族以及相關的歸屬，並且安恆在基礎信息方面增加了關於樣本的Hexdump，使得樣本基礎信息部分看似很豐滿，但是作為靜態分析結果來講，Hexdump 既不是一個總結性的結果呈現，也不能給分析人員任何定性的信息，不應該呈現在這裡。可能是因為免費/公開版本，動態分析部分並沒有任何的資料，但依然是基於惡意代碼以及威脅情報研究來說幫助微乎其微的，和360 所呈現的信息基本相同。

安天威脅情報中心

圖4

我們所抽樣的樣本哈希提交到安天威脅情報中心後（如圖4 所示），顯示的檢測結果是為空。所以也無法對於安天威脅情報中心的安卓分析能力進行任何的對比分析了，估計是安天威脅情報中心沒有樣本數據，但是武漢安天的殺毒引擎是可以正確識別出樣本為惡意代碼的。

綠盟NTI - 威脅情報中心

圖5

綠盟科技NTI-威脅情報中心在基於ERMAC 樣本分析能夠顯示對應的HASH 信息（如圖5 所示），除此以外什麼都沒有了，而基於APT-C50 的樣本分析是並沒有任何數據顯示的，與安天威脅情報中心一樣，應該是他們沒有對應的樣本記錄，當我們改為威脅分析中心並提交樣本進行分析後，看到分析中心對於兩個樣本都進行有效的檢測，其中哈希值為“16e991d73049f1ef5b8f5fa0c075ef05”的樣本呈現出相關的基礎信息（樣本哈希、元數據）並沒有任何靜態分析報告，而哈希值為“6151b1e2e5035a8eb596ce1c37565e87”的樣本，基礎信息呈現上比較簡單，殺毒引擎檢測沒有結果、分析結果採用的是綠盟自己的檢測策略，與常見的檢測呈現不一樣，比較雜亂，所以需要一定學習才可以比較明白。

VenusEye 威脅情報中心

圖6

VenusEye 基於樣本1（如圖6 上所示）的基礎信息呈現較為完整，也是屬於比較弱化的，沒有任何靜態化分析可言，而基於樣本2（如圖6 下所示）來說，VenusEye 並沒有對應的數據。

奇安信威脅情報中心

圖7

國內這麼多家威脅情報中心或者沙箱檢測的細節程度來說，從樣本2（如圖7 下所示）的威脅研判分析來看，因為有了沙箱檢測的完整補充，使得整體的分析詳細程度非常完整，奇安信無疑是國內廠商提供公開可以查閱的威脅情報中心/沙箱的天花板，而樣本1（如圖7 上所示）的分析來看，我們提交測試很多次，不管是以登陸/非登陸狀態下，沙箱檢測永遠都是檢測中的狀態，不知道是不是出現卡死的情況，所以樣本1 從純靜態化的狀態與其他廠商並無太大的區別。

天際網盟RedQueen

圖8

天際網盟RedQueen 基於樣本1（如圖8 所示）的哈希值並無數據，並且無法上傳樣本進行測試，而基於樣本2 的哈希值查詢後，發現有相關數據記錄，基礎信息與其廠商大同小異，而其餘的信息並無。

微步在線惡意軟件分析平台

圖9

在眾多國內威脅情報中心/沙箱的廠商裡面，微步在線曾經是唯一一家能夠準確識別出樣本1（如圖9 左所示）該惡意代碼的家族，但是當我重跑多次樣本1 去獲取最新檢測報告之後，它的家族檢測就開始改變了，這個讓我覺得疑惑的，並且從檢測報告來看（如圖9 右所示），檢測的邏輯問題也很多，例如：

沙箱環境是Win7+Office2013

多維檢測與檢測樣本無關

多引擎檢測結果不准確

當我在上傳樣本進行檢測時，上傳的文件格式並沒有Apk 可選，所以只能夠以其識別的壓縮文件格式進行上傳，並且沙箱的環境注定了對於安卓應用是無法解釋的，而在基於沙箱環境下的多維檢測Sigma 規則是完完全全的誤報，在多引擎檢測結果裡面，微步在線顯示“基於2022-10-29 19:36:04 的時間狀態下，只有三個殺毒引擎發現該樣本為惡意代碼”，但是從多方數據來看，微步在線所顯示並未檢測惡意代碼的引擎當中，早已可識別樣本1 為惡意代碼，例如卡巴斯基之類、小紅傘、DrWeb。

而從樣本基礎信息的數據來看，在沒有任何的沙箱檢測下，微步在線的檢測結果比起奇安信的要好，樣本的基礎信息、元數據、權限分析之類的都是有的，但是對於需要看著報告的研究人員來說，報告很明顯在呈現上並沒有考慮太多這種需求，特別是如果在沒有IOC、殺毒引擎之類的輔助數據支撐下，不管是流行的ERMAC 還是隱秘性更高的APT 樣本都會出現很嚴重的漏報的情況出現。

基於incinerator 的Apk 基礎檢測能力incinerator 作為一款國產自主的安卓Apk 逆向工具分析工具，用來與威脅情報、惡意代碼分析平台或者動態沙箱進行對比，在任何人眼中看起來都很好笑，而我們要對比的僅僅是incinerator 在Apk 分析時，呈現給用戶的基礎信息（如圖10 所示），當我們要進行Apk 分析的時候，incinerator 會通過自主研發的高效準確的逆向技術，首先會對Apk 進行全面基礎分析，分析結果包含了包名、HASH、簽名等基礎信息（如圖11 所示），再通過靜態單賦值與交叉引用結合找出全流程執行路徑, 並對應用行為進行源碼級深度檢測，以及權限進行分類標註，突出強調高危和敏感權限，檢查應用內網絡請求以及目標地址特徵信息， 抽取依賴庫指紋信息分析軟件成分組成。

Apk 基礎信息呈現

圖10

簽名信息

圖11

權限信息

圖12

上圖是樣本1 ERMAC 中抽取的部分權限信息（如圖12 所示），可以看到incinerator 對權限進行了詳細的檢測以及分類，對於Apk 進行申請“短信發送”、“撥打電話”等權限聲明都標註了高危。

注：在Android 官方文檔中，“短信發送”以及“撥打電話”是被標註為危險權限*

行為分析

圖13

圖14

Incinerator 對Apk 行為分析有多個分類，如下（如圖13-14 所示）：

加密安全

主要是檢測採用的加密的方式是否正確、是否有採用不夠安全的配置，導致加密失效或者容易被破解等。

應用安全

查看當前應用是否有安全風險，包括是否有日誌洩露、是否動態加載Dex、是否使用高危函數等。

組件安全

動態註冊Receiver 危險、Fragment 注入、組件導出風險、Intent 隱式調用風險、Intent 調用反射風險等。

數據安全

外部存儲風險、剪貼板洩露、應用數據備份風險等。

隱私安全

應用是否有使用錄音、撥打電話、攝像頭、地理位置、電話監聽、發短信等行為。這裡會結合權限申請情況給出最終結果，如果有敏感API 調用，但是沒有申請權限，則報告中不會指出，因為調用不會成功的。防止誤報給用戶造成困擾。

WebView 安全

WebView 任意代碼執行漏洞、WebView 啟用Javascript 風險、WebView 明文存儲密碼等風險。

通訊安全

未驗證CA 證書、HTTP 協議傳輸、Webview 忽略證書、端口開放檢測等。

當檢測出相關問題時，incinerator 會按照嚴重程度進行分類排列、給予對應的安全建議，並且定位到反編譯後具體代碼位置。

軟件成分分析

樣本1 ERMAC 因並未檢測出有依賴SDK 調用,故此下圖為樣本2 FurBall 的SCA 分析結果（如圖15 所示），incinerator 在軟件成分分析檢測時，發現樣本2 有相關的SDK 依賴，從信息的呈現上可以得知SDK 具體的版本號以及名稱。 incinerator 會結合公開的CVE 信息，去查詢依賴SDK 是否存在公開漏洞信息，並且會在報告中顯示。

圖15

通過對內置代碼進行深度掃描，抽取硬編碼的URL、郵箱地址、IP 等信息（如圖16 所示）。

圖16

同時結合我們自身的Whois、IP 數據庫進行查詢，對所獲取到的域名和IP 進行詳細的信息呈現（如圖17 所示）。

圖17

綜上所述，我們可以看到incinerator 對於Apk 的基礎信息檢測部分輸出較國內威脅情報平台更為全面，與VT 的對比來看，incinerator 基礎信息在HASH、TrID 等信息有所欠缺。以國內和國外的整體分析報告來看，incinerator 在沒有沙箱動態檢測，缺少敏感行為的強制調用結果下，但由於incinerator 的多維度基礎信息檢測手段，僅僅以這基礎信息檢測所羅列出來的信息完整度以及深度足以優於這一次對比的所有平台。

參考來源：

惡意代碼樣本

https://bazaar.abuse.ch/sample/f4ebdcef8643dbffe8de312cb47c1f94118e6481a4faf4166badfd98a0a9c5d3/#iocs

【安全資訊】ERMAC 新型Android 銀行木馬分析https://ti.dbappsecurity.com.cn/info/2560

360 引用地址1：

https://ti.360.net/#/detailpage/searchresult?query=16e991d73049f1ef5b8f5fa0c075ef05rand=0.8184840901507511

360 引用地址2：

https://ti.360.net/#/detailpage/searchresult?query=6151b1e2e5035a8eb596ce1c37565e87rand=0.46923541160428095

安恆引用地址1：

https://ti.dbappsecurity.com.cn/hash/16e991d73049f1ef5b8f5fa0c075ef05/

安恆引用地址2：

https://ti.dbappsecurity.com.cn/hash/6151b1e2e5035a8eb596ce1c37565e87/

安天引用地址1：

https://www.antiycloud.com/#/search/hash?type=hashkey=16e991d73049f1ef5b8f5fa0c075ef05

安天引用地址2：

https://www.antiycloud.com/#/search/hash?type=hashkey=6151b1e2e5035a8eb596ce1c37565e87

綠盟引用地址1：

https://ti.nsfocus.com/file?query=16e991d73049f1ef5b8f5fa0c075ef05

綠盟引用地址2：

https://ti.nsfocus.com/file?query=6151b1e2e5035a8eb596ce1c37565e87

綠盟引用地址3：

https://poma.nsfocus.com/report?md5=16e991d73049f1ef5b8f5fa0c075ef05

綠盟引用地址4：

https://poma.nsfocus.com/v4/report?md5=6151b1e2e5035a8eb596ce1c37565e87

奇安信引用地址1：

https://ti.qianxin.com/v2/search?type=filevalue=16e991d73049f1ef5b8f5fa0c075ef05

奇安信引用地址2：

https://ti.qianxin.com/v2/search?type=filevalue=6151b1e2e5035a8eb596ce1c37565e87

微步在線引用地址1：https://s.threatbook.com/report/file/f4ebdcef8643dbffe8de312cb47c1f94118e6481a4faf4166badfd98a0a9c5d3

微步在線引用地址2：https://s.threatbook.com/report/file/0d09d5e46e779d796a8d295043e5bbd90ac43705fa7ff7953faa5d8370840f93

VirusTotal 引用地址1：

https://www.virustotal.com/gui/file/f4ebdcef8643dbffe8de312cb47c1f94118e6481a4faf4166badfd98a0a9c5d3/details

VirusTotal 引用地址2：https://www.virustotal.com/gui/file/0d09d5e46e779d796a8d295043e5bbd90ac43705fa7ff7953faa5d8370840f93/details

源地