Abbiamo trattato la seconda parte dell'analisi statica del malware. Abbiamo analizzato stringhe, hash e firme. Questo faceva parte Sala di analisi statica di base di TryHackMe.

Ottieni appunti sul campo di informatica forense

Precauzioni di base per l'analisi del malware:

Prima di analizzare il malware, è necessario comprendere che il malware è spesso distruttivo. Ciò significa che durante l'analisi del malware esiste un'alta probabilità di danneggiare l'ambiente in cui viene analizzato. Questo danno può essere permanente e per eliminarlo potrebbe essere necessario uno sforzo maggiore rispetto allo sforzo compiuto per analizzare il malware. Pertanto, è necessario creare una configurazione di laboratorio in grado di resistere alla natura distruttiva del malware.

Macchine virtuali:

Una configurazione di laboratorio per l'analisi del malware richiede la possibilità di salvare lo stato di una macchina (istantanea) e ripristinarlo quando necessario. La macchina viene così preparata con tutti gli strumenti necessari installati e il suo stato viene salvato. Dopo aver analizzato il malware presente nel computer, questo viene ripristinato allo stato pulito con tutti gli strumenti installati. Questa attività garantisce che ogni malware venga analizzato in un ambiente altrimenti pulito e, dopo l'analisi, la macchina può essere ripristinata senza alcun danno prolungato.

Le macchine virtuali forniscono un mezzo ideale per l'analisi del malware. Alcuni famosi software utilizzati per la creazione e l'utilizzo di macchine virtuali includono Oracle VirtualBox E Stazione di lavoro VMWare. Queste applicazioni possono creare istantanee e ripristinarle quando necessario, rendendole particolarmente adatte per la nostra ricerca di analisi del malware. In breve, i passaggi seguenti descrivono l'utilizzo delle macchine virtuali per l'analisi del malware.

  1. Creata una nuova macchina virtuale con un nuovo file sistema operativo installare
  2. Configura la macchina installando al suo interno tutti gli strumenti di analisi richiesti
  3. Scatta una foto della macchina
  4. Copia/scarica campioni di malware all'interno del file VM e analizzarlo
  5. Ripristina la macchina allo snapshot una volta completata l'analisi

Seguire questi passaggi garantisce che il tuo VM non sia contaminato dai resti di campioni di malware precedenti durante l'analisi del nuovo malware. Garantisce inoltre che non sia necessario installare ripetutamente gli strumenti per ogni analisi. Anche selezionare gli strumenti da installare nella VM di analisi del malware può essere frenetico. È possibile utilizzare una delle VM di analisi del malware disponibili gratuitamente con strumenti preinstallati per facilitare questo compito. Esaminiamo alcune VM comuni per l'analisi del malware più popolari tra i ricercatori di sicurezza.

FLARO VM:

Il FLARE VM è una VM basata su Windows adatta per l'analisi del malware creata da Mandiant (in precedenza FireEye). Contiene alcuni degli strumenti di analisi del malware preferiti dalla community. Inoltre, è anche personalizzabile, ovvero puoi installare uno qualsiasi dei tuoi strumenti sulla VM. FLARE VM è compatibile con Windows 7 e Windows 10. Per un elenco degli strumenti già installati nella VM e i passaggi di installazione, puoi visitare il sito Pagina GitHub o il Blog Mandiant per il VM. Poiché si tratta di una VM basata su Windows, può eseguire l'analisi dinamica del malware basato su Windows.

Un'istanza di FLARE VM è annesso a questa stanza per svolgere compiti pratici. Fare clic sul pulsante Avvia macchina nell'angolo in alto a destra di questa attività per avviare la macchina prima di procedere all'attività successiva. La VM allegata ha una directory denominata mal sul desktop, che contiene campioni di malware che analizzeremo per questa stanza.

REMnux:

REMnux sta per Reverse Engineering Malware Linux. Si tratta di una distribuzione di analisi malware basata su Linux creata da Lenny Zeltser nel 2010. Successivamente, altre persone si sono unite al team per migliorare la distribuzione. Come il FLARE VM, include alcuni dei più popolari strumenti di reverse engineering e analisi del malware preinstallati. Aiuta gli analisti a risparmiare tempo che altrimenti verrebbe impiegato nell'identificazione, ricerca e installazione degli strumenti richiesti. Dettagli come installazione e documentazione possono essere trovati su GitHub o il sito web per la distribuzione. Essendo una distribuzione basata su Linux, non può essere utilizzata per eseguire analisi dinamiche di malware basato su Windows. REMnux è stato utilizzato in precedenza nella stanza Introduzione all'analisi del malware e verrà utilizzato anche nelle stanze successive.

Risposte in camera
Sul desktop nella VM allegata è presente una directory denominata "mal" con esempi di malware da 1 a 6. Utilizzare il filo interdentale per identificare le stringhe offuscate trovate nei campioni denominati 2, 5 e 6. Quale di questi esempi contiene la stringa "DbgView" .exe'?
Negli esempi situati nella directory Desktop\mal\ nella VM allegata, quale degli esempi ha lo stesso impatto del file 3?
Utilizzando l'utilità ssdeep, qual è la corrispondenza percentuale dei file sopra menzionati?
Quante corrispondenze per le tecniche di esecuzione anti-VM sono state identificate nel campione?

L'esempio deve avere la capacità di sospendere o riprendere un thread? Rispondi con Y per sì e N per no.

Che cosa MBC si osserva un comportamento rispetto all'obiettivo "Analisi antistatica" dell'MBC?

A quale indirizzo si trova la funzione che ha la capacità "Verifica". HTTP Codice di stato'?

Aprire l'esempio Desktop\mal\4 in PEstudio. Quale libreria è nella lista nera?

Cosa fa questa dll?

Videoprocedura dettagliata

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli