PR - LiSa - Multiplatform Linux Sandbox for Analyzing IoT Malware

原文作者：D Uhrıcek

原文标题：LiSa - Multiplatform Linux Sandbox for Analyzing IoT Malware

原文链接：http://excel.fit.vutbr.cz/submissions/2019/058/58.pdf

原文来源：2020 - excel.fit.vutbr.cz

笔记作者：outx

0x01 Introduction

目前针对Windows平台的沙箱已经较成熟，例如热门的Cuckoo。而Linux下有Limon/REMnux/Padawan等，但这些分析软件或多或少受到限制。作者提出了一个新的产品-LiSa，提供了完整的分析环境，包含静态、动态和网络分析、同时还能利用yara、json编写规则进行扩展。

0x02 Program Tracing

作者利用strace工具进行系统调用的追踪。这个工具忽略用户级的调用而专注于内核级的追踪。

0x03 Implementation

主要实现方法：

• Python（模块化系统、分析用的Pipeline、Web API）
• bash（构建系统）
• C++（解析网络数据）

简而言之，是采用hook syscall的方式来进行追踪。而构造沙盒的方式则是利用了Docker技术，统一管理则是用了Docker compose。

0x03 Conclusion

总的来说，作者的思路和我拟定的论文扩展思路类似，首先构建虚拟环境，然后在虚拟环境中进行进程追踪(利用strace)，以确定进程行为。最后，结合预定的行为组合判断包的恶意性。