Nous avons couvert la deuxième partie de l’analyse statique des logiciels malveillants. Nous avons analysé les chaînes, les hachages et les signatures. Cela faisait partie de Salle d'analyse statique de base TryHackMe.
Obtenez des notes de terrain en matière d'investigation informatique
Précautions de base pour l'analyse des logiciels malveillants :
Avant d’analyser les logiciels malveillants, il faut comprendre que les logiciels malveillants sont souvent destructeurs. Cela signifie que lorsqu’un logiciel malveillant est analysé, il existe de fortes chances d’endommager l’environnement dans lequel il est analysé. Ces dommages peuvent être permanents et il faudra peut-être plus d’efforts pour s’en débarrasser que pour analyser le logiciel malveillant. Il est donc nécessaire de créer une configuration de laboratoire capable de résister à la nature destructrice des logiciels malveillants.
Machines virtuelles:
Une configuration de laboratoire pour l'analyse des logiciels malveillants nécessite la possibilité d'enregistrer l'état d'une machine (instantané) et de revenir à cet état chaque fois que nécessaire. La machine est ainsi préparée avec tous les outils nécessaires installés, et son état est sauvegardé. Après avoir analysé le malware présent sur cette machine, celle-ci est restaurée à son état propre avec tous les outils installés. Cette activité garantit que chaque malware est analysé dans un environnement par ailleurs propre, et après analyse, la machine peut être restaurée sans aucun dommage durable.
Les machines virtuelles constituent un support idéal pour l’analyse des logiciels malveillants. Certains logiciels célèbres utilisés pour créer et utiliser des machines virtuelles incluent Boîte virtuelle Oracle et Poste de travail VMware. Ces applications peuvent créer des instantanés et y revenir chaque fois que nécessaire, ce qui les rend parfaitement adaptées à notre recherche d'analyse des logiciels malveillants. En bref, les étapes suivantes décrivent l'utilisation des machines virtuelles pour l'analyse des logiciels malveillants.
- Création d'une nouvelle machine virtuelle avec un nouveau Système d'exploitation installer
- Configurez la machine en y installant tous les outils d'analyse requis
- Prendre un instantané de la machine
- Copiez/téléchargez des échantillons de logiciels malveillants dans le Machine virtuelle et je l'analyse
- Rétablissez l'instantané de la machine une fois l'analyse terminée
Suivre ces étapes garantit que votre Machine virtuelle n’est pas contaminé par les restes d’échantillons de logiciels malveillants précédents lors de l’analyse de nouveaux logiciels malveillants. Cela garantit également que vous n'avez pas besoin d'installer vos outils encore et encore pour chaque analyse. La sélection des outils à installer dans votre VM d’analyse des logiciels malveillants peut également s’avérer mouvementée. On peut utiliser l’une des machines virtuelles d’analyse des logiciels malveillants disponibles gratuitement avec des outils préinstallés pour faciliter cette tâche. Passons en revue quelques machines virtuelles d'analyse de logiciels malveillants courantes les plus populaires parmi les chercheurs en sécurité.
ÉCLATER Machine virtuelle:
La FLARE Machine virtuelle est une machine virtuelle Windows bien adaptée à l'analyse des logiciels malveillants créée par Mandiant (anciennement FireEye). Il contient certains des outils d'analyse de logiciels malveillants préférés de la communauté. De plus, il est également personnalisable, c'est-à-dire que vous pouvez installer n'importe lequel de vos propres outils sur la VM. FLARE VM est compatible avec Windows 7 et Windows 10. Pour une liste des outils déjà installés dans la VM et les étapes d'installation, vous pouvez visiter le Page GitHub ou la Blog Mandiant pour le Machine virtuelle. Puisqu’il s’agit d’une machine virtuelle basée sur Windows, elle peut effectuer une analyse dynamique des logiciels malveillants basés sur Windows.
Une instance de FLARE Machine virtuelle est attaché à cette salle pour effectuer des tâches pratiques. Veuillez cliquer sur le bouton Démarrer la machine dans le coin supérieur droit de cette tâche pour démarrer la machine avant de passer à la tâche suivante. La VM attachée possède un répertoire nommé mal sur le bureau, qui contient des échantillons de logiciels malveillants que nous analyserions pour cette salle.
REMnux :
REMnux signifie Reverse Engineering Malware Linux. Il s'agit d'une distribution d'analyse de logiciels malveillants basée sur Linux créée par Lenny Zeltser en 2010. Plus tard, d'autres personnes ont rejoint l'équipe pour améliorer la distribution. Comme le FLARE Machine virtuelle, il comprend certains des outils d'ingénierie inverse et d'analyse de logiciels malveillants les plus populaires préinstallés. Cela permet aux analystes de gagner du temps qui serait autrement consacré à l'identification, à la recherche et à l'installation des outils requis. Des détails tels que l'installation et la documentation peuvent être trouvés sur GitHub ou la site web pour distribution. Étant une distribution basée sur Linux, elle ne peut pas être utilisée pour effectuer une analyse dynamique des logiciels malveillants basés sur Windows. REMnux était auparavant utilisé dans la salle d'introduction à l'analyse des logiciels malveillants et sera également utilisé dans les salles à venir.
L'exemple doit-il pouvoir suspendre ou reprendre un fil de discussion ? Répondez par Y pour oui et N pour non.
Quoi MBC un comportement est-il observé par rapport à l'objectif MBC « Analyse antistatique » ?
A quelle adresse se trouve la fonction qui a la capacité « Vérifier » HTTP Code d'état'?
A quoi sert cette DLL ?
Vidéo pas à pas
