Nous avons couvert l'analyse dynamique des logiciels malveillants à l'aide de la surveillance et de la journalisation des appels d'API à l'aide d'outils tels que API Logger et API Monitor. Cela faisait partie de Analyse dynamique de base TryHackMe

Obtenir des notes d'investigation informatique

Les fenêtres Système d'exploitation résume le matériel et fournit une interface programmable d'application (API) pour effectuer toutes les tâches. Par exemple, il existe une API pour créer des fichiers, une API pour créer des processus, une API pour créer et supprimer des registres, etc. Par conséquent, une façon d’identifier le comportement des logiciels malveillants consiste à surveiller les API qu’un logiciel malveillant appelle. Les noms des API sont généralement explicites. Cependant, Documentation Microsoft peut être consulté pour trouver des informations sur les API. Pour ouvrir un nouveau processus, nous pouvons cliquer sur le menu à trois points en surbrillance. Lorsqu'on clique dessus, un navigateur de fichiers nous permet de sélectionner l'exécutable dont nous voulons surveiller le API appels. Une fois que nous avons sélectionné l'exécutable, nous pouvons cliquer sur « Injecter et enregistrer » pour démarrer le processus de journalisation de l'API.

API Enregistreur

Le API Logger est un outil simple qui fournit des informations de base sur les API appelées par un processus.

Nous pouvons voir le PID du processus que nous surveillons et de l'API appelée avec des informations de base sur l'API dans le champ « msg ». Nous pouvons cliquer sur le menu 'PID' pour le API logger pour enregistrer les appels API d'un processus en cours d'exécution. Cette fenêtre affiche les processus avec des PID, l'utilisateur qui a exécuté ce processus et le chemin de l'image du processus. Le reste du processus est le même que pour le démarrage de notre processus.

API Moniteur

Le API Monitor fournit des informations plus avancées sur les appels API d'un processus. API Monitor propose respectivement des versions 32 bits et 64 bits pour les processus 32 bits et 64 bits.

Comme on peut le voir, API Le moniteur a plusieurs onglets

  1. Cet onglet est un filtre pour le API groupe que nous voulons surveiller. Par exemple, nous avons un groupe pour les API liées aux « Graphiques et jeux », un autre pour les API liées à « Internet », etc. API Monitor nous montrera uniquement les API du groupe que nous sélectionnons dans ce menu.
  2. Cet onglet affiche les processus surveillés pour API appels. Nous pouvons cliquer sur l'option « Surveiller un nouveau processus » pour commencer à surveiller un nouveau processus.
  3. Cet onglet montre le API appel, le module, le thread, l'heure, la valeur de retour et toutes les erreurs. Nous pouvons surveiller cet onglet pour les API appelées par un processus.
  4. Cet onglet affiche les processus en cours d'exécution qui API Le moniteur peut surveiller.
  5. Cet onglet affiche les paramètres du API appel, y compris les valeurs de ces paramètres avant et après les appels d'API.
  6. Cet onglet affiche le tampon hexadécimal de la valeur sélectionnée.
  7. Cet onglet affiche la pile d'appels du processus.
  8. Enfin, cet onglet affiche la sortie.

On voit ça API Monitor nous fournit beaucoup plus d'informations sur les appels d'API par un processus que API Logger. Il faut cependant ralentir le processus d’analyse pour digérer toutes ces informations. Lors de l'analyse des logiciels malveillants, nous pouvons décider d'utiliser API Logger ou API Monitor en fonction de nos besoins. S'il vous plaît, dirigez-vous vers le Salle d'introduction à l'API Windows en apprendre davantage sur API appels.

Réponses de la salle

Si un analyste souhaite analyser un malware Linux, quel système d'exploitation la machine virtuelle de son sandbox doit-elle avoir ?
Surveiller l'échantillon ~Bureau\Exemples\1.exe en utilisant ProcMon. Cet exemple établit quelques connexions réseau. Quelle est la première URL sur laquelle une connexion réseau est établie ?

Quelle opération réseau est effectuée sur l’URL mentionnée ci-dessus ?

Quel est le nom avec le chemin complet du premier processus créé par cet exemple ?

L'échantillon ~Bureau\exemples\1.exe crée un fichier dans le C:\ annuaire. Quel est le nom et le chemin complet de ce fichier ?

Quoi API est utilisé pour créer ce fichier ?

Dans la question 1 de la tâche précédente, nous avons identifié une URL vers laquelle une connexion réseau a été établie. Quoi API l'appel a été utilisé pour établir cette connexion ?

Nous avons remarqué dans la tâche précédente qu'après un certain temps, l'activité de l'échantillon ralentissait de telle sorte que peu de choses étaient rapportées sur l'échantillon. Pouvez-vous regarder le API appels et voir quel appel d'API pourrait en être responsable ?

Quel est le nom du premier Mutex créé par l’exemple ~Desktop\samples\1.exe ? S'il y a des chiffres dans le nom du Mutex, remplacez-les par X.

Le dossier est-il signé par un organisme connu ? Répondez par Y pour Oui et N pour Non.

Le processus en mémoire est-il le même que celui sur le disque ? Répondez par Y pour Oui et N pour Non.

Analyser l'échantillon ~Bureau\Exemples\3.exe en utilisant Regshot. Une valeur de registre a été ajoutée qui contient le chemin de l'exemple au format HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Quel est le chemin de cette valeur après le format mentionné ici ?

Vidéo pas à pas

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles