Wir haben den zweiten Teil der statischen Malware-Analyse behandelt. Wir haben die Analyse von Strings, Hashes und Signaturen durchgearbeitet. Dies war Teil von TryHackMe Grundlegender statischer Analyseraum.

Erhalten Sie Feldnotizen zur Computerforensik

Grundlegende Vorsichtsmaßnahmen bei der Malware-Analyse:

Bevor man Malware analysiert, muss man sich darüber im Klaren sein, dass Malware oft destruktiv ist. Das bedeutet, dass bei der Analyse von Malware eine hohe Wahrscheinlichkeit besteht, dass die Umgebung, in der sie analysiert wird, beschädigt wird. Dieser Schaden kann dauerhaft sein und es kann mehr Aufwand erfordern, diesen Schaden zu beseitigen, als für die Analyse der Malware aufgewendet zu werden. Daher ist es notwendig, ein Labor-Setup zu erstellen, das der destruktiven Natur von Malware standhält.

Virtuelle Maschinen:

Ein Laboraufbau zur Malware-Analyse erfordert die Möglichkeit, den Zustand einer Maschine (Schnappschuss) zu speichern und bei Bedarf in diesen Zustand zurückzukehren. Die Maschine wird daher mit allen erforderlichen installierten Tools vorbereitet und ihr Zustand wird gespeichert. Nach der Analyse der Malware auf dieser Maschine wird sie mit allen installierten Tools in ihren sauberen Zustand zurückversetzt. Diese Aktivität stellt sicher, dass jede Malware in einer ansonsten sauberen Umgebung analysiert wird und die Maschine nach der Analyse ohne bleibende Schäden zurückgesetzt werden kann.

Virtuelle Maschinen sind ein ideales Medium für die Malware-Analyse. Einige bekannte Softwareprogramme zum Erstellen und Verwenden virtueller Maschinen sind Oracle VirtualBox Und VMware Workstation. Diese Anwendungen können Snapshots erstellen und bei Bedarf darauf zurückgreifen, wodurch sie sich gut für unsere Malware-Analyse eignen. Kurz gesagt, die folgenden Schritte zeigen die Verwendung von virtuellen Maschinen für die Malware-Analyse.

  1. Erstellt eine neue virtuelle Maschine mit einem neuen Betriebssystem Installieren
  2. Richten Sie die Maschine ein, indem Sie alle erforderlichen Analysetools darauf installieren
  3. Machen Sie einen Schnappschuss von der Maschine
  4. Kopieren/Herunterladen von Malware-Beispielen im VM und analysieren Sie es
  5. Setzen Sie die Maschine nach Abschluss der Analyse auf den Snapshot zurück.

Wenn Sie diese Schritte befolgen, stellen Sie sicher, dass Ihr VM ist bei der Analyse neuer Malware nicht mit Resten früherer Malware-Beispiele kontaminiert. Außerdem wird dadurch sichergestellt, dass Sie Ihre Tools nicht für jede Analyse erneut installieren müssen. Auch die Auswahl der in Ihrer VM zur Malware-Analyse zu installierenden Tools kann hektisch sein. Um diese Aufgabe zu erleichtern, können Sie eine der kostenlos verfügbaren VMs zur Malware-Analyse mit vorinstallierten Tools verwenden. Sehen wir uns einige gängige VMs zur Malware-Analyse an, die bei Sicherheitsforschern am beliebtesten sind.

FLARE VM:

Das FLARE VM ist eine Windows-basierte VM, die sich gut für die Malware-Analyse eignet und von Mandiant (früher FireEye) entwickelt wurde. Sie enthält einige der beliebtesten Malware-Analyse-Tools der Community. Darüber hinaus ist sie auch anpassbar, d. h. Sie können alle Ihre eigenen Tools auf der VM installieren. FLARE VM ist mit Windows 7 und Windows 10 kompatibel. Eine Liste der bereits in der VM installierten Tools und Installationsschritte finden Sie unter GitHub-Seite oder der Mandiant-Blog für die VMDa es sich um eine Windows-basierte VM handelt, kann sie eine dynamische Analyse Windows-basierter Malware durchführen.

Eine Instanz von FLARE VM ist an diesen Raum angeschlossen, um praktische Aufgaben auszuführen. Klicken Sie bitte auf die Schaltfläche „Maschine starten“ in der oberen rechten Ecke dieser Aufgabe, um die Maschine zu starten, bevor Sie mit der nächsten Aufgabe fortfahren. Die angeschlossene VM hat ein Verzeichnis namens „mal“ auf dem Desktop, das Malware-Beispiele enthält, die wir für diesen Raum analysieren würden.

REMnux:

REMnux steht für Reverse Engineering Malware Linux. Es handelt sich um eine Linux-basierte Malware-Analyse-Distribution, die 2010 von Lenny Zeltser entwickelt wurde. Später schlossen sich weitere Personen dem Team an, um die Distribution zu verbessern. Wie das FLARE VM, enthält einige der beliebtesten Reverse-Engineering- und Malware-Analyse-Tools vorinstalliert. Es hilft den Analysten, Zeit zu sparen, die sonst mit der Identifizierung, Suche und Installation der erforderlichen Tools verbracht werden müsste. Details wie Installation und Dokumentation finden Sie auf GitHub oder der Webseite zur Verteilung. Da es sich um eine Linux-basierte Distribution handelt, kann sie nicht zur dynamischen Analyse von Windows-basierter Malware verwendet werden. REMnux wurde zuvor im Raum „Einführung in die Malware-Analyse“ verwendet und wird auch in den kommenden Räumen verwendet.

Raumantworten
Auf dem Desktop in der angeschlossenen VM gibt es ein Verzeichnis namens „mal“ mit den Malware-Beispielen 1 bis 6. Verwenden Sie Floss, um verschleierte Zeichenfolgen zu identifizieren, die in den Beispielen mit den Namen 2, 5 und 6 gefunden wurden. Welches dieser Beispiele enthält die Zeichenfolge „DbgView.exe“?
Welches der Beispiele im Verzeichnis „Desktop\mal\“ in der angehängten VM hat denselben Imphash wie Datei 3?
Wie hoch ist die prozentuale Übereinstimmung der oben genannten Dateien bei Verwendung des Dienstprogramms SSDEEP?
Wie viele Übereinstimmungen mit Anti-VM-Ausführungstechniken wurden in der Stichprobe ermittelt?

Verfügt das Beispiel über die Möglichkeit, einen Thread anzuhalten oder fortzusetzen? Antworten Sie mit J für ja und mit N für nein.

Was MBC Verhalten wird im Hinblick auf das MBC-Ziel „Antistatische Analyse“ beobachtet?

An welcher Adresse befindet sich die Funktion mit der Fähigkeit ‚Überprüfen‘ HTTP Statuscode'?

Öffnen Sie das Beispiel Desktop\mal\4 in PEstudio. Welche Bibliothek steht auf der schwarzen Liste?

Was macht diese DLL?

Video-Komplettlösung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen