Статья Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит

crew

crew

Member
30.10.2019
14
21
В статье описаны начальные методы и техники выявления вредоносного кода в файлах, и в каких условиях стоит обследовать малварь.

Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это:
  • Изолировать потенциально заражений ПК от других сетей
  • Сделать дам оперативной памяти
  • Снять образ диска
Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.

B04551_02_40.jpg


Инструментарий, с помощью которого будет производиться снятие слепка оперативной памяти лучше всего запускать с внешнего носителя, во избежания оставить лишнее следы на жестком диске (данные с жесткого диска необходимо сохранить в неизменном виде).

Важно помнить следующие:
  • В случае заражения ПК вирусом шифровальщиком есть шанс что при потере сетевого соединения, малварь начнет шифровать все данные на ПК, Вам необходимо предварительно оценить важность и критичность информации расположенной на зараженном ПК.
  • Чтобы малварь не успела среагировать на выключение системы, проще всего выдернуть кабель питания.
Перед началом исследования малвари статическим и динамическим анализом, необходимо подготовить безопасную среду, которая должна включать в себя следующие:

1.Подготовить виртуальную машину с помощью Virtual Box или VMware (Важно актуальной версии), или отдельно выделенный ПК, желательно с Windows 7.

Далее следующий софт, который должен быть установлен для благоприятной среды выполнения вредоносного кода:
  • Microsoft Office
  • .NET Framework
  • Microsoft Visual C++ Redistributable
  • DirectX
  • Python 2,7 Python 3,5
  • Java Version 8
  • Chrome, Firefox, Opera
  • Adobe Acrobat Reader
  • Включить поддержку скриптов PowerShell
Так же необходимо изолировать виртуальную среду от основной ОС:
  • Отключение Drag&Drop
  • Отключение общих папок
  • Отключение буфера обмена
  • Отключение от сети. Если интернет нужен настраиваем VPN.
  • Удаляем VMware Tools, virtualbox guest additions (малварь может обнаружить данные дополнения и перестать выполняться т.к. выполнение вредоносного кода в виртуальной среде один из признаков ее исследования)
2. Необходимо настроить выход в сеть интернет используя VPN, чтобы поддерживать связь с сервера управления вредоносным ПО.
3. Чтобы была возможность откатиться на первоначальное состояние тестовой среды, необходимо сделать snapshot.

И так, статический анализ:

1. Проверка потенциально вредоносного файла антивирусным ПО.
2. Залив потенциально вредоносного файла на VirusTotal, в данном случае осторожно с потенциально конфиденциальной/приватной информацией, так как после залива она будет доступна всем. Либо осуществить поиск по сгенерированной хеш сумме.

virusrotal.PNG


Анализ метаданных файла:

1. Наличие цифровой подписи, желаем о от известных вендоров. Для проверки цифровой подписи можно использовать Sign Tool.

SignTool.png


2. Обратите внимание на дату компиляции, если ПО было скомпилировано в ближайшие время это повод задуматься (дату компиляции легко подделать).

Для просмотра даты компиляции можно использовать утилиту CFF Explorer.

CFF Explorer.PNG


3. Зачастую время компиляции файла совпадает с временем залива файла (сэмпла) на VirusTotal (т.к «хакер» проверяет сколько антивирусов обнаружит его малварь).
4. Сравнение хеш суммы файлов, нужно найти оригинальный файл на сайте разработчика и сравнить хеши с потенциально вредоносным.
5. При запуске потенциально вредоносного файла обратить внимание на аномальную нагрузку ресурсов СP, HDD, Network interface можно использовать Resource Hacker. (так же данная утилита имеет множество возможностей отследить аномальную активность).

main_window.png


Анализ строк:

1.Нельзя бинарный файл открывать (notepad++, ms word, браузер) могут содержаться эксплойты.
2. Бинарные файлы нужно смотреть HEX редакторами.

hiew6.jpg


3.Стоит обратить внимание при просмотре файла в HEX редакторе на PDB-строку она добавляется автоматический компилятором, если ее нету значит ее кто-то удалил (PDB строка - путь к отладочным символам, можно найти название семейство ПО или его функционала). Так же обращаем внимание на ip-адреса, url и отправляем на VirusTotal. Cтоит обратить свое внимание на фрагменты осмысленного текста.
4.Фрагменты файла с высокой плотностью нулевых символов — это признак упаковщика.

Анализ энтропии:

1. Высокий уровень энтропии соответствует тому что файл сжат или зашифрован.
2. Фрагменты файла с высоким уровнем энтропии близкий к 8.
3. Фрагменты файлы где уровень энтропии не изменяется.

Для анализа энтропии можно воспользоваться ПО DIE.

die.PNG


Полу динамический анализ:

1. Взаимодействие файла с реестром. (обращать внимание на ветки автозагрузки)
Утилита RegShot делает снимок реестра до и после. (производит сравнение созданных и удаленных веток в реестре)

regshot1_md.jpg


2. Cетевая активность.
2.1. Запись дампа трафика, исходящего от файлы утилиты, в момент запуска.

whereshark.png


2.2. Просмотр на Virus Total: url, ip-addr к которым идет обращение.
2.3 Обратить внимание на использование нестандартных портов.

Ну и на по следок можно воспользоваться онлайн песочницами:




Спасибо за внимание.
 
InetTester

InetTester

Green Team
21.10.2018
192
38
Интересно, но именно новой инфы мне кажется не особо много :)
после можешь написать вторую часть(или дополнить эту) где ты уже будешь анализировать с помощью той же volatility и ее плагинов сам слепок RAM, хотя и эта тема уже поднималась много раз)
 
Woust Woust

Woust Woust

New member
21.01.2020
1
0
Выжимка приемущественно из первых 3 глав, Монаппа К. А. "Анализ вредоносных программ ", с небольшой модификацией
 
The Codeby

The Codeby

ООО Кодебай
30.12.2015
3 511
4 962
Ну так это здорово. Человек сэкономил всем время
из первых 3 глав, Монаппа К. А. "Анализ вредоносных программ "
Спасибо за книгу. Теперь желающие углубиться в тему, смогут ее прочесть.
с небольшой модификацией
Это уже работа, на которую способны единицы
 
  • Нравится
Реакции: Spirit и crew
G

GoBL1n

Active member
04.08.2016
44
10
Автору спасибо за статью и старания
 
  • Нравится
Реакции: crew
болт

болт

Member
20.01.2020
14
0
"VirusTotal " ... что у вас всех за ориентировка на него, это что БОГ антивирусов? есть куча уязвимостей в OSях майкра, которые успешно не закрывались ни одним патчем (что в старых осях, то и в новых!).
эти дыры оставляю намеренно для доступа спецслужбам к нашим данным, а все мировые ативирусы игнорируют эти "дырки"!
и потому остро встаёт вопрос: собственно чем это Г.... лучше других, и лучше ли оно вообще? и главное: а видит ли вирусы? на сколько я знаю все антивири работают одинаково, (точнее они вообще не работают!)
их действие заключается в банальном сканировании (сверкой со своей базой данных), а их база актуальной не может быть априори, ни их , ни чьих либо еще! ведь для попадания кода в базу зловреда необходимо его выявить (а вот этим как раз антивири и не занимаются-это чисто дело рук человека, так же как и написание самого зловреда).
и так мы приходим к выводу : недавно написанный зловредный код будет успешно запушен, да и старые по старым уязвимостям., а по сему не вижу смыслав трате времени на бесполезные ресурсы всяких; касперов, др.вебов и т.д..
исходя из личного опыта я пришел к выводу: ФОРМАТИРОВАТЬ! если есть подозрения и не смог выявить. какие слепки?
личноя за свою жизнь поставил один раз антивирус (когда купил свой первый ноут) и он меня достал! больше дел с ними не имею. после обнаружения все можно самому удалить и править реестр (геморой, но раньше я именно так и делал).
 
crew

crew

Member
30.10.2019
14
21
"VirusTotal " ... что у вас всех за ориентировка на него, это что БОГ антивирусов?
Ну VirusTotal не БОГ антивирусов а всего лишь платформа на которой порядка 70 антивирусных движков от различных вендоров, и с помощью ее легко проанализировать сомнительный файл,ресурс т.д... не кто не говорить что на результаты с VirusTotal можно полагаться со 100% уверенностью.

эти дыры оставляю намеренно для доступа спецслужбам к нашим данным, а все мировые антивирусы игнорируют эти "дырки"!
Что касаемо бэкдоров для правительственных служб, этой информацией владеет узкий круг лиц, так что это высказывание не актуально.

я знаю все антивири работают одинаково, (точнее они вообще не работают!)
их действие заключается в банальном сканировании (сверкой со своей базой данных)
Кроме сигнатурного метода, антивирусы так же проверяют целостность файлов, используют эвристический анализ и применяют свои технологии по детектированию.

недавно написанный зловредный код будет успешно запушен
Скорее всего семпл этого зловредного кода проверяли на детектирование на том же VirusTotal, и ты его сможешь найти по хешам если его туда заливали.

а по сему не вижу смыслав трате времени на бесполезные ресурсы всяких; касперов, др.вебов и т.д..
Я так полагаю вы в рядах ботнета :)

исходя из личного опыта я пришел к выводу: ФОРМАТИРОВАТЬ!
Представляю системных администраторов какой нибудь конторы после очередного фишинга с атачe.

Антивирусное ПО это не панацея от малвари, а всего лишь инструмент, который частично предотвращает или уведомляет о подозрительной активности со своей долей погрешности.
 
backstabber

backstabber

Member
30.07.2019
19
1
Выжимка приемущественно из первых 3 глав, Монаппа К. А. "Анализ вредоносных программ ", с небольшой модификацией
Ребят, может у кого то есть эта книга и готовы поделится нею? Был бы очень рад, спасибо!
 
p00h

p00h

Member
23.01.2020
5
4
"VirusTotal " ... что у вас всех за ориентировка на него, это что БОГ антивирусов? есть куча уязвимостей в OSях майкра, которые успешно не закрывались ни одним патчем (что в старых осях, то и в новых!).
эти дыры оставляю намеренно для доступа спецслужбам к нашим данным, а все мировые ативирусы игнорируют эти "дырки"!
и потому остро встаёт вопрос: собственно чем это Г.... лучше других, и лучше ли оно вообще? и главное: а видит ли вирусы? на сколько я знаю все антивири работают одинаково, (точнее они вообще не работают!)
их действие заключается в банальном сканировании (сверкой со своей базой данных), а их база актуальной не может быть априори, ни их , ни чьих либо еще! ведь для попадания кода в базу зловреда необходимо его выявить (а вот этим как раз антивири и не занимаются-это чисто дело рук человека, так же как и написание самого зловреда).
и так мы приходим к выводу : недавно написанный зловредный код будет успешно запушен, да и старые по старым уязвимостям., а по сему не вижу смыслав трате времени на бесполезные ресурсы всяких; касперов, др.вебов и т.д..
исходя из личного опыта я пришел к выводу: ФОРМАТИРОВАТЬ! если есть подозрения и не смог выявить. какие слепки?
личноя за свою жизнь поставил один раз антивирус (когда купил свой первый ноут) и он меня достал! больше дел с ними не имею. после обнаружения все можно самому удалить и править реестр (геморой, но раньше я именно так и делал).
как было сказано выше антивирус - не универсальная таблетка. Почему все ориентируются на вирустотал? Потому что представленные антивирусные движки позволяют с более высокой вероятностью проверить файл на базах различных вендоров.
А откуда инфа о намеренном оставлении багов? Кроме голословных выкриков есть что-то еще?
Современные антивирусы проверяют не только по локальным базам: вердикт может выноситься на основе работы эвристических алгоритмов, проверки в песочнице, проверки по облачным базам....и это далеко не все. Так что там не банальное сканирование. Описанная вами модель характерна для работы антивирусов образца конца 90-х - начала 2000-х годов.
Форматировать если есть подозрение?))) А в случае, если у вас зоопарк из 10-1000 машин + соответствующая серверная инфраструктура - форматнете все?))) За простой кто заплатит?
Если вы рядовой пользователь/обычная компания и т.д., то антивирусы как раз нужны: вы не интересны для целевых атак, а с остальным случайно скачанным бухгалтерией, принесенным на флешке бестолковым сотрудником они справятся успешно. Если же вы представитель структур,на которые проводятся целевые атаки, то использование AV может усложнить задачу атакующим.
Ну а чтобы антивирус не достал - его надо настраивать. Вы же просто поленились это сделать (или не знаете как это делается).

Посмотрите на современные антивирусы: там и контроль запуска программ есть, и контроль целостности файлов, и контроль обращения к веб-ресурсам... и куча всего. При правильной настройке это позволяет крайне успешно защититься даже для случая проникновения вредоноса на целевую машину (вайтлистинг) - он просто не запустится. Плюс для грамотного администратора/безопасника логи антивируса - ценнейший источник данных для мониторинга, предотвращения вторжения и т.п.
 
Последнее редактирование:
  • Нравится
Реакции: pr0phet и crew
InvisibleMan

InvisibleMan

Member
21.11.2019
22
11
Приходилось наблюдать, как тестировали малварь в онлайн песочницах, для обхода. Powershell в доке с 4й попытки, в течение часа, стал невинным, аки младенец.
Виртуальные машины обнаруживают и без установленных в них дополнений. Сейчас популярна тенденция - "Спящая красавица" на часы-месяцы, песочница может пропустить, но покажет, что отправлены команды на сон для "зверька" , что аномалия для нормальных файлов.
Сколько статей о том, как обходят вирус тотал, неужели не читали? На что вы надеетесь? Паблик софт анализируют и обходят, надо свое придумывать.
 
болт

болт

Member
20.01.2020
14
0
как было сказано выше антивирус - не универсальная таблетка. Почему все ориентируются на вирустотал? Потому что представленные антивирусные движки позволяют с более высокой вероятностью проверить файл на базах различных вендоров.
А откуда инфа о намеренном оставлении багов? Кроме голословных выкриков есть что-то еще?
Современные антивирусы проверяют не только по локальным базам: вердикт может выноситься на основе работы эвристических алгоритмов, проверки в песочнице, проверки по облачным базам....и это далеко не все. Так что там не банальное сканирование. Описанная вами модель характерна для работы антивирусов образца конца 90-х - начала 2000-х годов.
Форматировать если есть подозрение?))) А в случае, если у вас зоопарк из 10-1000 машин + соответствующая серверная инфраструктура - форматнете все?))) За простой кто заплатит?
Если вы рядовой пользователь/обычная компания и т.д., то антивирусы как раз нужны: вы не интересны для целевых атак, а с остальным случайно скачанным бухгалтерией, принесенным на флешке бестолковым сотрудником они справятся успешно. Если же вы представитель структур,на которые проводятся целевые атаки, то использование AV может усложнить задачу атакующим.
Ну а чтобы антивирус не достал - его надо настраивать. Вы же просто поленились это сделать (или не знаете как это делается).

Посмотрите на современные антивирусы: там и контроль запуска программ есть, и контроль целостности файлов, и контроль обращения к веб-ресурсам... и куча всего. При правильной настройке это позволяет крайне успешно защититься даже для случая проникновения вредоноса на целевую машину (вайтлистинг) - он просто не запустится. Плюс для грамотного администратора/безопасника логи антивируса - ценнейший источник данных для мониторинга, предотвращения вторжения и т.п.
ты считаешь что тутошняя аудитория (в 95% те кто мониторит компании с большим количеством железа?) является сисадминами? и ДЫРКИ майкрософт не латает, а уязвимости были , есть и будут! о них даже дети знают, а если ты торчишь на этом борде и ензнаком с этим фактом... "грошь" тебе цена!
хотя судя по твоей репе и так всё понятно...


лично для тебя могу наклацать батник не являющийся вредом, но антивирь его распознает как зловред, или с точностью до наоборот-her он определит его как вирус!
 
Последнее редактирование модератором:
p00h

p00h

Member
23.01.2020
5
4
ты считаешь что тутошняя аудитория (в 95% те кто мониторит компании с большим количеством железа?) является сисадминами? и ДЫРКИ майкрософт не латает, а уязвимости были , есть и будут! о них даже дети знают, а если ты торчишь на этом борде и ензнаком с этим фактом... "грошь" тебе цена!
хотя судя по твоей репе и так всё понятно...
Понятно, что ваша квалификация вызывает сомнение.

лично для тебя могу наклацать батник не являющийся вредом, но антивирь его распознает как зловред, или с точностью до наоборот-her он определит его как вирус!
наклацай, жду с нетерпением
 
G

GunQuest

Member
03.10.2019
19
9
Благодарю вас за статью! Продолжайте в том же духе.
 
  • Нравится
Реакции: p00h и crew
p00h

p00h

Member
23.01.2020
5
4
Приходилось наблюдать, как тестировали малварь в онлайн песочницах, для обхода. Powershell в доке с 4й попытки, в течение часа, стал невинным, аки младенец.
Виртуальные машины обнаруживают и без установленных в них дополнений. Сейчас популярна тенденция - "Спящая красавица" на часы-месяцы, песочница может пропустить, но покажет, что отправлены команды на сон для "зверька" , что аномалия для нормальных файлов.
Сколько статей о том, как обходят вирус тотал, неужели не читали? На что вы надеетесь? Паблик софт анализируют и обходят, надо свое придумывать.
Привет!
Ну тут надо определиться, о чем мы говорим. Если это стандартная организация, торгующая, например, стульями, то никто не будет писать под нее малварь с гарантированным обходом AV. Ей для защиты как раз и хватит хорошо настроенного антивируса.
А если организация, на которую идет таргетированная атака, то все сложнее. И тут могут помочь дополнительные фичи, как я писал выше: whitelisting и прочее. Как, например, запустить закинутый зловред, даже пусть и невидимый для AV, но с настроенным whitelisting? Да никак. А аллерт о попытке запуска хз откуда взявшегося бинаря привлечет внимание безопасника со всеми вытекающими.
 
p00h

p00h

Member
23.01.2020
5
4
извиняюсь за ранее за длинный текст (копи), почитай страшилку на ноч
Я ничего не понял. Какой длинный текст? какая страшилка? ты укурился? где батник, который не содержит вредоносный код, но не детектится антивирусом? Где батник, который не содержит вредоносного кода, но прибивается антивирусом?
Ты же сказал наклацаешь, но прошло уже 2 дня. Не клацается? =) Или за слова не принято отвечать?

извиняюсь за ранее за длинный текст (копи), почитай страшилку на ноч
По тогу имеем:
1. Ты кричишь сам не понимая о чем.
2. Твои познания в жизненном цикле разработки ПО (SDL, который сам microsoft, кстати, и разработал), механизмах работы современных AV-средств, да и в целом - в информационной безопасности.... оставляют желать лучшего. Иначе к чему выкрики, что дырки были, есть и будут....непонятно. Где хоть 1 пруф о том, что microsoft не латает дырки... Где хоть 1 пруф о тезисах, приведенных в предыдущих сообщениях - НЕТ ничего.
3. Ты не отвечаешь за свои слова.
4. Большие проблемы с русским языком, пиши грамотнее.
 
  • Нравится
Реакции: dominikanec и Zhuvader
Мы в соцсетях: