Wir haben die dynamische Malware-Analyse durch die Analyse und den Vergleich von Änderungen und Modifikationen an der Registrierung mit Regshot durchgeführt. Dies war Teil von TryHackMe Grundlegende dynamische Malware-Analyse.
Notizen zur Computerforensik abrufen
Was ist eine Sandbox?
Die Analyse von Malware gleicht einem Katz-und-Maus-Spiel. Malware-Analysten entwickeln ständig neue Techniken zur Analyse von Malware, während Malware-Autoren neue Techniken entwickeln, um der Erkennung zu entgehen.
Es wurde betont, dass Malware nur in einer kontrollierten Umgebung, idealerweise einer virtuellen Maschine, analysiert werden sollte. Dies wird jedoch bei der dynamischen Analyse von Malware immer wichtiger. Die Hauptsorge bei der Durchführung einer statischen Analyse von Malware in einer Live-Umgebung ist eine versehentliche Ausführung, aber wir führen Malware in einem dynamischen Analyseszenario absichtlich aus. Daher ist es umso wichtiger, sicherzustellen, dass Malware in einer Sandbox-Umgebung analysiert wird.
Was wird also zum Erstellen einer Sandbox benötigt?
Im Wesentlichen sind zum Erstellen einer Sandbox die folgenden Konfigurationen erforderlich:
- Eine isolierte Maschine, idealerweise eine virtuelle Maschine, die nicht mit Live- oder Produktionssystemen verbunden ist und ausschließlich der Malware-Analyse dient.
- Die Fähigkeit der isolierten oder virtuellen Maschine, ihren ursprünglichen sauberen Zustand zu speichern und nach Abschluss der Malware-Analyse in diesen Zustand zurückzukehren. Diese Funktion wird häufig als Erstellen und Wiederherstellen eines Snapshots bezeichnet. Wir müssen vor der Analyse einer neuen Malware in den ursprünglichen sauberen Zustand zurückkehren, damit die Infektion durch die vorherige Malware die Analyse der nächsten nicht beeinträchtigt.
- Überwachungstools, die uns helfen, die Malware zu analysieren, während sie in der virtuellen Maschine ausgeführt wird. Diese Tools können automatisiert sein, wie wir es bei automatisierten Sandboxen sehen, oder sie können manuell sein, sodass der Analyst während der Analyse eingreifen muss. Wir werden später im Raum mehr über einige dieser Tools erfahren.
- Ein Dateifreigabemechanismus, mit dem die Malware in die virtuelle Maschine eingeschleust werden kann und der die Analysedaten oder Berichte an uns sendet. Häufig werden hierfür freigegebene Verzeichnisse oder Netzwerklaufwerke verwendet. Wir müssen jedoch darauf achten, dass das freigegebene Verzeichnis beim Ausführen der Malware nicht gemountet ist, da die Malware sonst alle Dateien infizieren könnte. Dies gilt insbesondere für Ransomware, die alle freigegebenen Laufwerke oder Verzeichnisse verschlüsseln könnte.
Im Einführung in die Malware-Analyse Raum haben wir einige automatisierte Sandboxen kennengelernt, die bei der Durchführung dynamischer Analysen helfen. Im Folgenden erfahren wir mehr über einige Tools, die uns beim Erstellen unserer Sandbox helfen, die uns mehr Kontrolle über die Analyse gibt. Also, fangen wir an.
Virtualisierung
Für die Virtualisierung stehen zahlreiche kommerzielle und kostenlose Tools zur Verfügung. Zu den bekanntesten gehören VirtualBox von Oracle sowie Player und Workstation von VMware. Mit diesen drei Tools können wir virtuelle Maschinen erstellen, die von unserer lokalen Maschine isoliert sind. Allerdings kann VMWare Player keine Snapshots erstellen. Für die dynamische Analyse von Malware ist die Erstellung von Snapshots eine wichtige Voraussetzung, weshalb VMWare Player für die Malware-Analyse ungeeignet ist. VMWare Workstation und VirtualBox verfügen über die Option zur Erstellung von Snapshots und sind daher für die Malware-Analyse geeignet. VirtualBox ist kostenlos, für VMWare Workstation ist jedoch eine kostenpflichtige Lizenz erforderlich.
Abgesehen davon helfen serverbasierte Virtualisierungssoftware wie XenServer, QEmu, ESXi usw. bei der Virtualisierung auf einem dedizierten Server. Diese Art von Setup wird häufig von Unternehmen für ihre Virtualisierungsanforderungen verwendet. Sicherheitsforschungsorganisationen verwenden häufig ähnliche Technologien, um eine VM Farm für Virtualisierung im großen Maßstab.
Für diesen Raum überspringen wir den Schritt der Erstellung eines VM und installieren Sie ein Betriebssystem darin. Bitte beachten Sie, dass das Betriebssystem der VM für eine dynamische Analyse mit dem Zielbetriebssystem der Malware identisch sein muss. In den meisten Fällen wird dies das Windows-Betriebssystem sein. In diesem Raum werden wir Tools behandeln, die mit dem Windows-Betriebssystem in Zusammenhang stehen.
Analyse-Tools
Sobald wir ein VM Wenn das Betriebssystem installiert ist, müssen wir einige Analysetools auf der VM haben. Automatisierte Malware-Analysesysteme verfügen über einige integrierte Tools, die das Verhalten von Malware analysieren. In Cuckoos Sandbox ist beispielsweise cuckoomon ein Tool, das Malware-Aktivitäten in einem Cuckoo-Sandbox-Setup aufzeichnet. In den kommenden Aufgaben werden wir einige Tools kennenlernen, mit denen wir eine manuelle dynamische Analyse von Malware durchführen können. Sobald wir unsere erforderlichen Tools auf der VM installiert haben und bevor wir Malware auf der VM ausführen, müssen wir einen Snapshot erstellen. Nach der Analyse jeder Malware müssen wir die VM auf diesen Snapshot zurücksetzen, der den sauberen Zustand der VM festhält. Dadurch wird sichergestellt, dass unsere Analyse nicht durch verschiedene gleichzeitig ausgeführte Malware-Beispiele verfälscht wird.
Datenaustausch
Verschiedene Plattformen bieten unterschiedliche Optionen zum Teilen von Dateien zwischen Host und Gast BetriebssystemIn den gängigsten Tools, z. B. Oracle VirtualBox oder VMWare Workstation, sind die folgenden Optionen üblich:
- Freigegebenen Ordner.
- Erstellen eines ISOs im Host und Mounten auf dem VM.
- Zwischenablage kopieren und einfügen.
Abgesehen davon gibt es noch andere, weniger verbreitete Optionen, z. B. das Ausführen eines Webservers auf dem Gast, auf den Malware-Beispiele hochgeladen werden können, oder das Einbinden eines Wechseldatenträgers in die virtuelle Maschine. Bitte beachten Sie, dass die Dateifreigabe für das Host-Betriebssystem umso sicherer ist, je isolierter sie ist. Abgesehen vom Teilen von Malware mit dem VM, die Dateifreigabeoption wird auch verwendet, um Analyseberichte aus der VM zu extrahieren.
Sobald wir ein VM, Analysetools eingerichtet, einen Snapshot erstellt und die Malware in unserer Sandbox platziert, können wir mit der Analyse unserer Malware beginnen. In der nächsten Aufgabe lernen wir Tools kennen, die uns dabei helfen.
Raumantworten
~Desktop\Samples\1.exe mit ProcMon. Dieses Beispiel stellt einige Netzwerkverbindungen her. Was ist die erste URL, über die eine Netzwerkverbindung hergestellt wird?Welcher Netzwerkvorgang wird für die oben genannte URL ausgeführt?
Wie lautet der Name und der vollständige Pfad des ersten von diesem Beispiel erstellten Prozesses?
~Desktop\samples\1.exe erstellt eine Datei im C:\ Verzeichnis. Wie lautet der Name und der vollständige Pfad dieser Datei?Was API wird zum Erstellen dieser Datei verwendet?
In Frage 1 der vorherigen Aufgabe haben wir eine URL identifiziert, zu der eine Netzwerkverbindung hergestellt wurde. Was API Anruf wurde verwendet, um diese Verbindung herzustellen?
Wir haben in der vorherigen Aufgabe festgestellt, dass die Aktivität der Probe nach einiger Zeit nachließ, so dass nicht mehr viel über die Probe berichtet wurde. Können Sie sich die API ruft auf und sieht nach, welcher API-Aufruf dafür verantwortlich sein könnte?
Wie lautet der Name des ersten Mutex, der vom Beispiel ~Desktop\samples\1.exe erstellt wird? Wenn der Name des Mutex Zahlen enthält, ersetzen Sie diese durch X.
Ist die Datei von einer bekannten Organisation signiert? Antworten Sie mit J für Ja und N für Nein.
Ist der Prozess im Speicher derselbe wie der Prozess auf der Festplatte? Antworten Sie mit J für Ja und mit N für Nein.
~Desktop\Samples\3.exe mit Regshot. Es wurde ein Registrierungswert hinzugefügt, der den Pfad des Beispiels im Format HKU\SXX-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXX\ enthält. Wie lautet der Pfad dieses Werts nach dem hier genannten Format?Video-Komplettlösung
