alazkiyai09/fraudware-analyzer
GitHub: alazkiyai09/fraudware-analyzer
基于API调用序列分析和机器学习的银行木马静态检测与家族分类框架
Stars: 0 | Forks: 0
# Fraudware Analyzer
**用于检测和分类银行木马的静态分析框架**
[功能特性](#features) • [安装说明](#installation) • [使用方法](#usage) • [系统架构](#architecture) • [分析结果](#results) • [相关研究](#research-context)
## 概述
**Fraudware Analyzer** 是一个精密的静态分析框架,旨在通过 API 调用序列分析来检测和分类银行木马(也称为 "fraudware")。该工具帮助安全研究人员和分析师识别可执行文件中的恶意模式,而无需执行它们,为恶意软件分类提供了一种安全高效的方法。
### 问题背景
银行木马代表了金融安全领域中最复杂的威胁之一:
- **经济影响**:每年因银行木马造成的损失超过 1 亿美元
- **不断演变的战术**:技术不断变化以逃避检测
- **针对性攻击**:专注于特定的金融机构和地区
- **多态代码**:恶意软件更改其签名以避免 AV 检测
### 我们的解决方案
Fraudware Analyzer 提供:
1. **静态分析**:无需执行恶意软件即可提取 API 调用和代码模式
2. **序列分析**:通过 API 调用序列识别恶意行为
3. **机器学习**:经过训练的分类器,用于自动化恶意软件家族检测
4. **行为分析**:生成全面的行为报告
5. **威胁情报**:与已知的恶意软件家族签名进行匹配
## 功能特性
### 核心分析功能
| 功能 | 描述 |
|---------|-------------|
| **PE 文件解析** | 从 Windows 可执行文件中提取结构、导入、导出和资源 |
| **API 调用提取** | 从导入地址表 (IAT) 中全面提取 API 调用 |
| **序列分析** | 通过 API 调用序列识别恶意行为模式 |
| **字符串提取** | 提取并分析字符串以查找 URL、IP 和可疑关键词 |
| **ML 分类** | 用于恶意软件家族识别的随机森林分类器 |
| **YARA 集成** | 针对已知恶意软件签名的 YARA 规则匹配 |
### 检测能力
- **银行木马**:Zeus, SpyEye, Carberp, Citadel, Dyre
- **信息窃取器**:Pony, Fareit, LokiBot
- **勒索软件**:WannaCry, Petya, Locky
- **后门**:PoisonIvy, Gh0st, DarkComet
- **下载器**:Andromeda, Dofoil, Hancitor
## 系统架构
```
┌─────────────────────────────────────────────────────────────────┐
│ Fraudware Analyzer │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ Input Layer │ │
│ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │
│ │ │PE Files │ │Memory │ │Strings │ │YARA │ │ │
│ │ │ │ │Dumps │ │ │ │Rules │ │ │
│ │ └─────┬────┘ └─────┬────┘ └─────┬────┘ └─────┬────┘ │ │
│ └────────┼─────────────┼─────────────┼─────────────┼───────┘ │
│ │ │ │ │ │
│ ▼ ▼ ▼ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ Extraction Layer │ │
│ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │
│ │ │PE Parser │ │API │ │String │ │Resource │ │ │
│ │ │ │ │Extractor │ │Extractor │ │Extractor │ │ │
│ │ └─────┬────┘ └─────┬────┘ └─────┬────┘ └─────┬────┘ │ │
│ └────────┼─────────────┼─────────────┼─────────────┼───────┘ │
│ │ │ │ │ │
│ ▼ ▼ ▼ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ Analysis Layer │ │
│ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │
│ │ │Sequence │ │Pattern │ │ML │ │Behavior │ │ │
│ │ │Analysis │ │Matching │ │Classifier│ │Profiler │ │ │
│ │ └─────┬────┘ └─────┬────┘ └─────┬────┘ └─────┬────┘ │ │
│ └────────┼─────────────┼─────────────┼─────────────┼───────┘ │
│ │ │ │ │ │
│ ▼ ▼ ▼ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ Reporting Layer │ │
│ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │
│ │ │JSON │ │HTML │ │PDF │ │STIX │ │ │
│ │ │Report │ │Report │ │Report │ │Format │ │ │
│ │ └──────────┘ └──────────┘ └──────────┘ └──────────┘ │ │
│ └──────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────┘
```
### 组件分解
1. **PE Parser 模块** (`src/pe_parser/`)
- 解析 Windows PE 文件格式
- 提取头部、节、导入、导出
- 识别加壳器和混淆器
2. **API Extractor 模块** (`src/api_extractor/`)
- 从导入地址表提取 API 调用
- 构建 API 调用序列
- 识别可疑的 API 组合
3. **String Analyzer 模块** (`src/string_analyzer/`)
- 提取 ASCII 和 Unicode 字符串
- 识别 URL、IP、电子邮件地址
- 检测可疑关键词和模式
4. **ML Classifier 模块** (`src/ml_classifier/`)
- 从 API 序列中提取特征
- 基于随机森林的分类
- 恶意软件家族识别
5. **YARA Scanner 模块** (`src/yara_scanner/`)
- YARA 规则匹配
- 签名数据库管理
- 支持自定义规则创建
## 安装说明
### 前置条件
- Python 3.8 或更高版本
- pip 或 conda
- Git
### 设置步骤
1. 克隆仓库:
```
git clone https://github.com/alazkiyai09/fraudware-analyzer.git
cd fraudware-analyzer
```
2. 创建虚拟环境:
```
python -m venv venv
source venv/bin/activate # On Windows: venv\Scripts\activate
```
3. 安装依赖:
```
pip install -r requirements.txt
```
4. 下载 YARA 规则(可选):
```
python scripts/download_rules.py
```
5. 验证安装:
```
python -m pytest tests/
```
## 使用方法
### 命令行界面
#### 基础分析
```
# 分析单个文件
fraudware-analyzer analyze suspicious.exe
# 使用详细输出进行分析
fraudware-analyzer analyze suspicious.exe --verbose --report report.html
# 分析多个文件
fraudware-analyzer analyze ./malware_samples/*.exe --batch
# 导出结果到 JSON
fraudware-analyzer analyze suspicious.exe --output results.json --format json
```
#### 批量处理
```
# 处理样本目录
fraudware-analyzer batch ./samples --output ./reports --format html
# 递归处理目录
fraudware-analyzer batch ./samples --recursive --threads 4
```
#### YARA 扫描
```
# 使用 YARA 规则扫描
fraudware-analyzer yara-scan suspicious.exe --rules ./rules
# 更新 YARA 规则数据库
fraudware-analyzer update-rules
```
### Python API
```
from fraudware_analyzer import Analyzer
from fraudware_analyzer.report import HTMLReporter
# 初始化 analyzer
analyzer = Analyzer()
# 分析文件
result = analyzer.analyze("suspicious.exe")
# 打印结果
print(f"Malware Family: {result.family}")
print(f"Confidence: {result.confidence:.2%}")
print(f"Suspicious APIs: {len(result.suspicious_apis)}")
# 生成报告
reporter = HTMLReporter()
reporter.generate(result, "report.html")
```
### 配置
创建一个 `config.yaml` 文件:
```
analysis:
extract_strings: true
min_string_length: 4
extract_api_calls: true
analyze_sequences: true
classification:
model_path: "./models/rf_classifier.pkl"
threshold: 0.7
yara:
rules_path: "./rules"
enabled: true
output:
default_format: "html"
include_disassembly: false
verbose: true
```
## 项目结构
```
fraudware-analyzer/
├── src/
│ ├── pe_parser/ # PE file parsing
│ │ ├── __init__.py
│ │ ├── parser.py # Main PE parser
│ │ ├── section.py # Section analysis
│ │ └── imports.py # Import table parser
│ ├── api_extractor/ # API call extraction
│ │ ├── __init__.py
│ │ ├── extractor.py # API extraction logic
│ │ ├── sequences.py # Sequence analysis
│ │ └── signatures.py # Known API signatures
│ ├── string_analyzer/ # String analysis
│ │ ├── __init__.py
│ │ ├── extractor.py # String extraction
│ │ └── patterns.py # Pattern matching
│ ├── ml_classifier/ # Machine Learning
│ │ ├── __init__.py
│ │ ├── classifier.py # ML classifier
│ │ ├── features.py # Feature extraction
│ │ └── training.py # Training pipeline
│ ├── yara_scanner/ # YARA scanning
│ │ ├── __init__.py
│ │ ├── scanner.py # YARA scanner
│ │ └── rules.py # Rule management
│ └── utils/ # Utilities
│ ├── __init__.py
│ ├── file_ops.py # File operations
│ └── logger.py # Logging setup
├── models/ # Trained ML models
├── rules/ # YARA rules
├── tests/ # Unit tests
├── docs/ # Documentation
├── scripts/ # Utility scripts
├── config/ # Configuration files
├── requirements.txt # Python dependencies
├── setup.py # Package setup
├── LICENSE # MIT License
└── README.md # This file
```
## 分析结果
### 检测性能
目标检测率(算法级基准测试):
| 恶意软件家族 | 检测率 | 误报率 | 平均分析时间 |
|----------------|----------------|---------------------|-------------------|
| Zeus | 98.2% | 0.5% | 2.3s |
| SpyEye | 96.8% | 0.8% | 2.1s |
| Carberp | 94.5% | 1.2% | 2.5s |
| Citadel | 97.1% | 0.6% | 2.2s |
| Dyre | 93.8% | 1.5% | 2.8s |
| Pony | 95.6% | 1.0% | 1.9s |
| Fareit | 94.2% | 1.3% | 2.0s |
| LokiBot | 96.3% | 0.9% | 2.4s |
### 分类准确度
算法级基准测试:
| 指标 | 得分 |
|--------|-------|
| 总体准确率 | 95.7% |
| 精确率 (Macro) | 94.8% |
| 召回率 (Macro) | 93.5% |
| F1-Score (Macro) | 94.1% |
### 测试环境
**注意:** 出于安全/体积原因,训练模型和恶意软件样本不包含在内。
- **数据集**:10,000+ 个恶意软件样本
- **纯净样本**:5,000+ 个合法可执行文件
- **恶意软件来源**:VirusTotal, Hybrid Analysis, Malpedia
- **覆盖家族**:50+ 个不同的恶意软件家族
## 支持的恶意软件家族
### 银行木马
- Zeus (Zbot)
- SpyEye
- Carberp
- Citadel
- Dyre
- Dridex
- Emotet
- TrickBot
- QakBot (Qbot)
- IcedID
### 信息窃取器
- Pony
- Fareit
- LokiBot
- Azorult
- RedLine
- Vidar
- Raccoon
### 勒索软件
- WannaCry
- Petya/NotPetya
- Locky
- Cerber
- GandCrab
- Ryuk
- Maze
### 远程访问木马
- PoisonIvy (PI)
- Gh0st
- DarkComet
- njRAT
- XtremeRAT
## 研究背景
Fraudware Analyzer 是作为专注于通过静态分析技术检测银行木马的安全研究的一部分而开发的。
### 方法论
该框架采用混合方法,结合了:
1. **静态分析**:在不执行的情况下安全地检查恶意软件
2. **API 序列分析**:通过 API 调用模式进行行为指纹识别
3. **机器学习**:用于自动化检测的随机森林分类
4. **签名匹配**:用于已知恶意软件识别的 YARA 规则
### 相关出版物
1. **Ye, Y., et al.** (2017). "Intelligent Malware Detection Based on API Call Sequences." *IEEE Access*.
2. **Mohaisen, A., & Alrawi, O.** (2018). "AMAL: High-Fidelity, Black-Box Malware Detection." *ACSAC*.
3. **Nataraj, L., et al.** (2011). "Malware Detection Using Visual Images." *ECML PKDD*.
## 引用
如果您在研究中使用 Fraudware Analyzer,请引用:
```
@software{fraudware_analyzer2024,
title={Fraudware Analyzer: Static Analysis Framework for Banking Trojan Detection},
author={Al Azkiyai, Ahmad Whafa Azka},
year={2024},
url={https://github.com/alazkiyai09/fraudware-analyzer},
publisher={GitHub}
}
```
## 许可证
本项目根据 MIT 许可证授权 - 详情请参见 [LICENSE](LICENSE) 文件。
## 免责声明
**重要提示**:Fraudware Analyzer 仅供教育和研究目的使用。它只能用于:
- 您拥有合法授权分析的恶意软件样本
- 隔离环境(沙箱/虚拟机)
- 获得适当许可的安全研究
作者不对本工具的任何滥用负责。
## 作者
**Ahmad Whafa Azka Al Azkiyai**
- 作品集: [https://alazkiyai09.github.io](https://alazkiyai09.github.io)
- GitHub: [@alazkiyai09](https://github.com/alazkiyai09)
欺诈检测与 AI 安全专家 · 3 年以上银行欺诈系统经验 · 联邦学习安全 · 发表过论文的研究员
## 致谢
- YARA 团队提供的优秀模式匹配框架
- pefile 库提供的 PE 文件解析功能
- 分享恶意软件样本和签名的安全研究人员
## 贡献
欢迎贡献!请随时提交 Pull Request。
1. Fork 本仓库
2. 创建您的功能分支 (`git checkout -b feature/AmazingFeature`)
3. 提交您的更改 (`git commit -m 'Add some AmazingFeature'`)
4. 推送到分支 (`git push origin feature/AmazingFeature`)
5. 打开一个 Pull Request
## 联系方式
如有问题、建议或合作意向:
- 在 GitHub 上开启一个 issue
- 通过 [作品集网站](https://alazkiyai09.github.io) 联系
**出于对恶意软件分析和安全研究的热情而制作** 🦠
标签:API调用序列, DAST, HTTP工具, PE文件解析, Python安全工具, 云安全监控, 威胁情报, 安全规则引擎, 开发者工具, 恶意软件分析, 木马查杀, 机器学习分类, 欺诈软件, 特征提取, 网络安全审计, 自动化分类, 逆向工具, 金融安全, 银行木马检测, 静态分析