在 7 月 21 日举办的看雪安全开发者峰会上,阿里安全猎户座实验室首度向外界展示了最新的研究成果“自动逆向机器人” ——TimePlayer 。据阿里安全猎户座实验室研究人员弗为称,该机器人可以像医生一样“望闻问切”,对程序进行显微镜级别的勘察,并完整“回放”其运作过程,因此,可以侦测出程序中的漏洞或隐蔽行为。
弗为在演讲中还称,TimePlayer 集“摄像机”“播放机”和下“显微镜”三大功能于一身。如果要分析一个程序,只需在 TimePlayer 中运行一次就可以,它会把该程序所有的行为全部忠实地记录下来,而且不会遗漏任何细节。不仅如此,TimePlayer还可以将“拍摄”的内容进行向前放、向后放、快放、慢放,能够放大任意处的细节并且追踪任意的目标。最重要的是,TimePlayer 对于程序行为的勘察粒度达到了指令级别。
以 WannaCry 勒索病毒为例,由于 WannaCry 勒索病毒刻意地删除了本机的“私钥”,因此,理论上只能掏钱向勒索者获取,通过TimePlayer 可以发现,“私钥”实际上在用户态和内核态均有残留,且相较于暴力搜索用户态内存方法,精准的内核态残留提取更为稳定。
同时,TimePlayer 可逆向超级复杂的文件格式。甚至是 DOC 这类超级复杂的文件格式,只需要把DOC文档放到 TimePlayer 中打开,就能自动化地对文件进行分析。弗为称,以前要好几个人耗费数年时间的分析工作,TimePlayer 几天时间就可以搞定,而且无需人员参与。
另外,为了对抗人工逆向,防护人员开发了各种各样的工具和产品提升逆向难度,TimePlayer 甚至可以对付最难搞的“虚拟机壳”。
此前,雷锋网编辑曾采访阿里安全 P10 级资深安全总监黄眉,得知阿里安全内部近期有两大研究方向:数据安全和智能化攻防。不难看出,TimePlayer 应该是阿里安全主攻的两大研究方向下的产物,甚至可以说,这是近年来极少对外发声、展示新工具的阿里安全比较重视的一次展示。
雷锋网曾报道过 360 冰刃实验室负责人潘剑锋等人开发的一款自动漏洞挖掘工具 Digtool ,详情请见《他们造了一个自动挖掘工具,能找到比核武器更可怕的漏洞》,文中提到,Digtool 目前擅长挖掘六类漏洞,而且针对的是 Windows系统。那么,这两款工具有什么相同点和不同点?
雷锋网从阿里安全独家了解到,Digtool 是漏洞专挖工具,相对目的性更强一些,严格来说,TimePlayer 不是漏洞挖掘工具,而是程序逆向分析框架,可以在平台层上二次开发各种应用,包括漏洞挖掘、逆向分析等;在分析范围上, Digtool 利用的是 Intel pt,用于 Intel 架构下分析。Timeplayer 基于 qemu,可以针对包括 arm 在内的其他架构。
“也可以基于 TimePlayer 开发漏洞挖掘的应用,我们正在开发这项功能,也找到了一些arm/windows内核的问题,但还没有总结对外展示。现阶段的产出还是比较偏逆向分析方向的应用,但是 Digtool 有的能力也是具备的,只是需要时间去积累产出。”阿里安全方面透露。
阿里安全猎户座实验室负责人杭特认为,逆向能力是安全从业人员必须具备的基本功。在当前的安全行业,逆向工作基本都是不断重复的、纯体力的。
也就是说,目前这个工具的主要价值还是减少逆向工作的人力劳动。最后,雷锋网了解到,以上纯属展示,阿里安全尚未公开发布这款工具,TimePlayer 现阶段仍在阿里安全内部使用。