Abbiamo trattato l'analisi dinamica del malware analizzando e confrontando i cambiamenti e le modifiche apportate al registro utilizzando Regshot. Questo faceva parte TryHackMe Analisi dinamica del malware di base.
Ottieni appunti di informatica forense
Cos'è una sandbox?
Analizzare il malware è come un gioco del gatto e del topo. Gli analisti di malware continuano a ideare nuove tecniche per analizzare il malware, mentre gli autori di malware escogitano nuove tecniche per eludere il rilevamento.
È stato sottolineato che il malware dovrebbe essere analizzato solo in un ambiente controllato, idealmente una macchina virtuale. Tuttavia, questo diventa sempre più importante per l’analisi dinamica del malware. La preoccupazione principale relativa all'esecuzione dell'analisi statica sul malware in un ambiente live è un'esecuzione accidentale, ma eseguiamo intenzionalmente il malware in uno scenario di analisi dinamica. Ciò rende ancora più importante garantire che il malware venga analizzato in un ambiente sandbox.
Quindi cosa è necessario per creare una sandbox?
In generale, per creare una sandbox sarà necessaria la seguente configurazione:
- Una macchina isolata, idealmente una macchina virtuale, non connessa a sistemi live o di produzione ed è dedicata all'analisi del malware.
- La capacità della macchina isolata o virtuale di salvare il suo stato pulito iniziale e di ripristinarlo una volta completata l'analisi del malware. Questa funzionalità viene spesso chiamata creazione e ripristino di uno snapshot. Dovremo ripristinare lo stato pulito originale prima di analizzare un nuovo malware in modo che l'infezione del malware precedente non contamini l'analisi di quello successivo.
- Strumenti di monitoraggio che ci aiutano ad analizzare il malware mentre è in esecuzione all'interno della macchina virtuale. Questi strumenti possono essere automatizzati, come vediamo nei sandbox automatizzati, oppure possono essere manuali, richiedendo all'analista di interagire durante l'esecuzione dell'analisi. Impareremo a conoscere alcuni di questi strumenti più avanti nella stanza.
- Un meccanismo di condivisione file che può essere utilizzato per introdurre il malware nella macchina virtuale e inviarci i dati di analisi o i report. Spesso a questo scopo vengono utilizzate directory condivise o unità di rete. Tuttavia, dobbiamo fare attenzione che la directory condivisa non venga montata durante l'esecuzione del malware, poiché il malware potrebbe infettare tutti i file. Ciò è particolarmente vero per il ransomware, che potrebbe crittografare tutte le unità o directory condivise.
Nel Introduzione all'analisi del malware room, abbiamo appreso di alcuni sandbox automatizzati per facilitare l'esecuzione di analisi dinamiche. Di seguito impareremo alcuni strumenti che ci aiutano a creare la nostra sandbox, che ci offre un maggiore controllo sull'analisi. Quindi iniziamo.
Virtualizzazione
Sono disponibili molti strumenti commerciali e gratuiti per la virtualizzazione. Alcuni dei più famosi includono VirtualBox di Oracle e Player e Workstation di VMware. Questi tre strumenti ci consentono di creare macchine virtuali isolate dalla nostra macchina locale. Tuttavia, VMWare Player non può creare istantanee. Per l'analisi dinamica del malware, la creazione di snapshot è un requisito fondamentale, il che rende VMWare Player inadatto all'analisi del malware. VMWare Workstation e VirtualBox dispongono dell'opzione di creazione di snapshot e sono quindi adatti per l'analisi del malware. VirtualBox è gratuito, ma VMWare Workstation ha una licenza a pagamento.
Oltre a questi, software di virtualizzazione basati su server come XenServer, QEmu, ESXi, ecc., aiutano con la virtualizzazione su un server dedicato. Questo tipo di configurazione viene spesso utilizzato dalle aziende per le loro esigenze di virtualizzazione. Le organizzazioni di ricerca sulla sicurezza utilizzano spesso tecnologie simili per creare a VM farm per la virtualizzazione su larga scala.
Per lo scopo di questa stanza, salteremo il passaggio relativo alla creazione di un file VM e installando un sistema operativo al suo interno. Tieni presente che il sistema operativo della VM deve essere lo stesso del sistema operativo di destinazione del malware per l'analisi dinamica. Nella maggior parte degli scenari, questo sarà il sistema operativo Windows. In questa stanza tratteremo gli strumenti relativi al sistema operativo Windows.
Strumenti di analisi
Una volta che abbiamo a VM con il sistema operativo installato, è necessario disporre di alcuni strumenti di analisi sulla VM. I sistemi automatizzati di analisi del malware dispongono di alcuni strumenti integrati che analizzano il comportamento del malware. Ad esempio, nella sandbox di Cuckoo, cuckoomon è uno strumento che registra l'attività del malware in una configurazione sandbox di Cuckoo. Nelle prossime attività impareremo alcuni strumenti per eseguire l'analisi dinamica manuale del malware. Una volta installati gli strumenti richiesti sulla VM e prima di eseguire qualsiasi malware sulla VM, dobbiamo acquisire uno snapshot. Dopo l'analisi di ogni malware, dobbiamo ripristinare la VM su questa istantanea, che manterrà lo stato pulito della VM. Ciò garantirà che la nostra analisi non sia contaminata da diversi campioni di malware eseguiti contemporaneamente.
Condivisione di file
Piattaforme diverse forniscono opzioni diverse per la condivisione di file tra host e ospite sistema operativo. Negli strumenti più popolari, ovvero Oracle VirtualBox o VMWare Workstation, sono comuni le seguenti opzioni:
- Cartella condivisa.
- Creare un ISO nell'host e montarlo sul file VM.
- Copia e incolla negli appunti.
Oltre a queste, esistono altre opzioni meno comuni, ad esempio l'esecuzione di un server Web sul guest in cui è possibile caricare campioni di malware o il montaggio di un'unità rimovibile sulla macchina virtuale. Tieni presente che quanto più isolata è l'opzione di condivisione dei file, tanto più sicura sarà per il sistema operativo host. Oltre a condividere malware con il VM, l'opzione di condivisione file viene utilizzata anche per estrarre report di analisi dalla VM.
Una volta creato un file VM, abbiamo configurato gli strumenti di analisi, abbiamo scattato un'istantanea e inserito il malware nella nostra sandbox, possiamo iniziare ad analizzare il nostro malware. Nel prossimo compito impareremo gli strumenti che ci possono aiutare.
Risposte in camera
~Desktop\Esempi\1.exe utilizzando ProcMon. Questo esempio effettua alcune connessioni di rete. Qual è il primo URL su cui viene effettuata una connessione di rete?Quale operazione di rete viene eseguita sull'URL sopra menzionato?
Qual è il nome con il percorso completo completo del primo processo creato da questo esempio?
~Desktop\campioni\1.exe crea un file in C:\ directory. Qual è il nome con il percorso completo di questo file?Che cosa API viene utilizzato per creare questo file?
Nella domanda 1 dell'attività precedente, abbiamo identificato un URL a cui è stata effettuata una connessione di rete. Che cosa API è stata utilizzata la chiamata per stabilire questa connessione?
Nell'attività precedente abbiamo notato che dopo un po' di tempo l'attività del campione è rallentata in modo tale che non è stato riportato molto sul campione. Puoi guardare il API chiamate e vedere quale chiamata API potrebbe esserne responsabile?
Qual è il nome del primo Mutex creato dall'esempio ~Desktop\samples\1.exe? Se nel nome del Mutex sono presenti numeri, sostituirli con X.
Il file è firmato da un'organizzazione conosciuta? Rispondi con Y per Sì e N per No.
Il processo nella memoria è lo stesso del processo su disco? Rispondi con Y per Sì e N per No.
~Desktop\Samples\3.exe utilizzando Regshot. È stato aggiunto un valore del registro che contiene il percorso dell'esempio nel formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Qual è il percorso di quel valore dopo il formato menzionato qui?Videoprocedura dettagliata
