• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Техники выявления вредоносного кода в файлах

  • Автор темы to_0day
  • Дата начала
Мы поговорим о методах и методах обнаружения вредоносного кода в файлах и условиях, при которых стоит изучить вредоносное ПО.

Первое, что нам нужно сделать, чтобы избежать заражения инфраструктуры вредоносными программами, это:

  • Изолировать потенциально заражений ПК от других сетей
  • Сделать дамп оперативной памяти
  • Снять образ диска
Используя образ памяти и оперативную память, вы можете запустить FTK Imager.

1580909185143.png



Лучше всего запустить инструментарий, с помощью которого можно сделать снимок оперативной памяти с внешнего носителя, чтобы не оставлять ненужных следов на жестком диске (данные на жестком диске должны сохраняться без изменений).

Важно помнить следующие:

  • В случае заражения компьютера вирусом с помощью вымогателей существует вероятность того, что если сетевое соединение потеряно, вредоносное ПО начнет шифровать все данные на ПК, вам необходимо сначала оценить важность и критичность информации, расположенной на зараженном ПК.
  • Чтобы малварь не успела среагировать на выключение системы, проще всего выдернуть кабель питания.
Перед началом исследования малвари статическим и динамическим анализом, необходимо подготовить безопасную среду, которая должна включать в себя следующие:

1. Подготовить виртуальную машину с помощью Virtual Box или VMware (Важно актуальной версии), или отдельно выделенный ПК, желательно с Windows 7. Далее следующий софт, который должен быть установлен для благоприятной среды выполнения вредоносного кода:

  • Microsoft Office
  • .NET Framework
  • Microsoft Visual C++ Redistributable
  • DirectX
  • Python 2,7 Python 3,5
  • Java Version 8
  • Chrome, Firefox, Opera
  • Adobe Acrobat Reader
  • Включить поддержку скриптов PowerShell
Так же необходимо изолировать виртуальную среду от основной ОС:
  • Отключение Drag&Drop
  • Отключение общих папок
  • Отключение буфера обмена
  • Отключение от сети. Если интернет нужен настраиваем VPN.
  • Удаляем VMware Tools, virtualbox guest additions (малварь может обнаружить данные дополнения и перестать выполняться т.к. выполнение вредоносного кода в виртуальной среде один из признаков ее исследования)
2. Вы должны настроить доступ в Интернет через VPN для связи с сервером управления вредоносным ПО. 3. Вы должны сделать снимок, прежде чем сможете восстановить тестовую среду в ее первоначальное состояние. И так, статический анализ: 1. Проверка потенциально вредоносного файла антивирусным ПО. 2. Залив потенциально вредоносного файла на VirusTotal, в данном случае осторожно с потенциально конфиденциальной/приватной информацией, так как после залива она будет доступна всем. Либо осуществить поиск по сгенерированной хеш сумме.

1580909171383.png


Анализ метаданных файла:

1. Наличие цифровой подписи, желаем о от известных вендоров. Для проверки цифровой подписи можно использовать Sign Tool.


1580909158182.png


2. Обратите внимание на дату компиляции, если ПО было скомпилировано в ближайшие время это повод задуматься (дату компиляции легко подделать).

Для просмотра даты компиляции можно использовать утилиту CFF Explorer.

1580909145701.png


3. Зачастую время компиляции файла совпадает с временем залива файла (сэмпла) на VirusTotal (т.к «хакер» проверяет сколько антивирусов обнаружит его малварь).

4. Сравнение хеш суммы файлов, нужно найти оригинальный файл на сайте разработчика и сравнить хеши с потенциально вредоносным.

5. При запуске потенциально вредоносного файла обратить внимание на аномальную нагрузку ресурсов СP, HDD, Network interface можно использовать Process Hacker. (так же данная утилита имеет множество возможностей отследить аномальную активность).


1580909066166.png


Анализ строк:

1.Нельзя бинарный файл открывать (notepad++, ms word, браузер) могут содержаться эксплойты.

2. Бинарные файлы нужно смотреть HEX редакторами.


1580909057530.png


3. Если вы отображаете файл в HEX-редакторе в строке PDB, это следует учитывать. Он автоматически добавляется компилятором. Если он не существует, кто-то удалил его. Мы также обращаем внимание на IP-адреса, URL и отправляем их в VirusTotal. Стоит иметь дело с фрагментами текста.

4. Фрагменты файла с высокой плотностью нулевых символов — это признак упаковщика.

Анализ энтропии:

1. Высокий уровень энтропии соответствует тому что файл сжат или зашифрован.

2. Фрагменты файла с высоким уровнем энтропии близкий к 8.

3. Фрагменты файлы где уровень энтропии не изменяется.

Для анализа энтропии можно воспользоваться ПО DIE.

1580909042759.png


Полу динамический анализ:

1. Взаимодействие файла с реестром. (обращать внимание на ветки автозагрузки)

Утилита RegShot делает снимок реестра до и после. (производит сравнение созданных и удаленных веток в реестре)


1580909025491.png


2. Cетевая активность.

2.1. Запись дампа трафика, исходящего от файлы утилиты, в момент запуска.

1580909015896.png


2.2. Просмотр на Virus Total: url, ip-addr к которым идет обращение.

2.3 Обратить внимание на использование нестандартных портов.

И, наконец, вы можете использовать онлайн-песочницы.


Источник
 
  • Нравится
Реакции: Anonimist
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!