Wir haben die dynamische Analyse von Malware mithilfe des Process Explorers behandelt, um DLLs, Handles, Ressourcenverbrauch und Netzwerkaktivität zu entdecken und gängige Malware-Techniken wie Process Hollowing und Process Masquerading aufzudecken. Dies war Teil von TryHackMe Grundlegende dynamische Analyse
Notizen zur Computerforensik abrufen
Process Explorer ist ein weiteres sehr nützliches Tool aus der Sysinternals Suite. Es kann als erweiterte Form des Windows Task-Managers betrachtet werden. Process Explorer ist ein sehr leistungsfähiges Tool, das uns dabei helfen kann, Prozess-Hollowing- und Masquerading-Techniken zu identifizieren.
Prozessmaskierung
Malware-Autoren verwenden manchmal Prozessnamen, die Windows-Prozessen oder häufig verwendeter Software ähneln, um sich vor den neugierigen Blicken eines Analysten zu verstecken. Die Registerkarte „Image“, wie im obigen Screenshot gezeigt, hilft einem Analysten, diese Technik zu überwinden. Durch Klicken auf die Schaltfläche „Überprüfen“ auf dieser Registerkarte kann ein Analyst feststellen, ob die ausführbare Datei für den laufenden Prozess von der entsprechenden Organisation signiert ist, was im Fall von Windows-Binärdateien Microsoft ist. In diesem speziellen Screenshot können wir sehen, dass die Option „Überprüfen“ bereits angeklickt wurde. Darüber hinaus können wir oben den Text „(Im Betreff war keine Signatur vorhanden) Microsoft Corporation“ sehen. Dies bedeutet, dass die ausführbare Datei zwar vorgibt, von Microsoft zu stammen, aber nicht von Microsoft digital signiert ist und sich als Microsoft-Prozess tarnt. Dies kann ein Hinweis auf einen bösartigen Prozess sein.
Wir müssen hier beachten, dass dieser Überprüfungsprozess nur für das Image des auf der Festplatte gespeicherten Prozesses gilt. Wenn ein signierter Prozess ausgehöhlt und sein Code im Speicher durch Schadcode ersetzt wurde, erhalten wir möglicherweise immer noch eine verifizierte Signatur für diesen Prozess. Um ausgehöhlte Prozesse zu identifizieren, müssen wir woanders suchen.
Prozessaushöhlung
Eine weitere Technik, die von Malware verwendet wird, um sich vor aller Augen zu verstecken, ist Process Hollowing. Bei dieser Technik höhlt die Malware-Binärdatei einen bereits laufenden legitimen Prozess aus, indem sie den gesamten Code aus dem Speicher entfernt und anstelle des legitimen Codes bösartigen Code einfügt. Auf diese Weise sieht ein Analyst zwar einen legitimen Prozess, dieser Prozess führt jedoch bösartigen Code des Malware-Autors aus. Process Explorer kann uns auch dabei helfen, diese Technik zu identifizieren. Wenn wir „Image“ auswählen, zeigt uns Process Explorer die im Disk-Image des Prozesses vorhandenen Zeichenfolgen. Wenn „Memory“ ausgewählt ist, extrahiert Process Explorer Zeichenfolgen aus dem Speicher des Prozesses. Unter normalen Umständen ähneln die Zeichenfolgen im Image eines Prozesses denen im Speicher, da derselbe Prozess in den Speicher geladen ist. Wenn ein Prozess jedoch ausgehöhlt wurde, sehen wir einen erheblichen Unterschied zwischen den Zeichenfolgen im Image und im Speicher des Prozesses. Dies zeigt uns, dass der in den Speicher geladene Prozess sich erheblich von dem auf der Festplatte gespeicherten Prozess unterscheidet.
Raumantworten
~Desktop\Samples\1.exe mit ProcMon. Dieses Beispiel stellt einige Netzwerkverbindungen her. Was ist die erste URL, über die eine Netzwerkverbindung hergestellt wird?Welcher Netzwerkvorgang wird für die oben genannte URL ausgeführt?
Wie lautet der Name und der vollständige Pfad des ersten von diesem Beispiel erstellten Prozesses?
~Desktop\samples\1.exe erstellt eine Datei im C:\ Verzeichnis. Wie lautet der Name und der vollständige Pfad dieser Datei?Was API wird zum Erstellen dieser Datei verwendet?
In Frage 1 der vorherigen Aufgabe haben wir eine URL identifiziert, zu der eine Netzwerkverbindung hergestellt wurde. Was API Anruf wurde verwendet, um diese Verbindung herzustellen?
Wir haben in der vorherigen Aufgabe festgestellt, dass die Aktivität der Probe nach einiger Zeit nachließ, so dass nicht mehr viel über die Probe berichtet wurde. Können Sie sich die API ruft auf und sieht nach, welcher API-Aufruf dafür verantwortlich sein könnte?
Wie lautet der Name des ersten Mutex, der vom Beispiel ~Desktop\samples\1.exe erstellt wird? Wenn der Name des Mutex Zahlen enthält, ersetzen Sie diese durch X.
Ist die Datei von einer bekannten Organisation signiert? Antworten Sie mit J für Ja und N für Nein.
Ist der Prozess im Speicher derselbe wie der Prozess auf der Festplatte? Antworten Sie mit J für Ja und mit N für Nein.
~Desktop\Samples\3.exe mit Regshot. Es wurde ein Registrierungswert hinzugefügt, der den Pfad des Beispiels im Format HKU\SXX-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXX\ enthält. Wie lautet der Pfad dieses Werts nach dem hier genannten Format?Video-Komplettlösung
