Мы поговорим о методах и методах обнаружения вредоносного кода в файлах и условиях, при которых стоит изучить вредоносное ПО.
Первое, что нам нужно сделать, чтобы избежать заражения инфраструктуры вредоносными программами, это:
Лучше всего запустить инструментарий, с помощью которого можно сделать снимок оперативной памяти с внешнего носителя, чтобы не оставлять ненужных следов на жестком диске (данные на жестком диске должны сохраняться без изменений).
Важно помнить следующие:
1. Подготовить виртуальную машину с помощью Virtual Box или VMware (Важно актуальной версии), или отдельно выделенный ПК, желательно с Windows 7. Далее следующий софт, который должен быть установлен для благоприятной среды выполнения вредоносного кода:
Анализ метаданных файла:
1. Наличие цифровой подписи, желаем о от известных вендоров. Для проверки цифровой подписи можно использовать Sign Tool.
2. Обратите внимание на дату компиляции, если ПО было скомпилировано в ближайшие время это повод задуматься (дату компиляции легко подделать).
Для просмотра даты компиляции можно использовать утилиту CFF Explorer.
3. Зачастую время компиляции файла совпадает с временем залива файла (сэмпла) на VirusTotal (т.к «хакер» проверяет сколько антивирусов обнаружит его малварь).
4. Сравнение хеш суммы файлов, нужно найти оригинальный файл на сайте разработчика и сравнить хеши с потенциально вредоносным.
5. При запуске потенциально вредоносного файла обратить внимание на аномальную нагрузку ресурсов СP, HDD, Network interface можно использовать Process Hacker. (так же данная утилита имеет множество возможностей отследить аномальную активность).
Анализ строк:
1.Нельзя бинарный файл открывать (notepad++, ms word, браузер) могут содержаться эксплойты.
2. Бинарные файлы нужно смотреть HEX редакторами.
3. Если вы отображаете файл в HEX-редакторе в строке PDB, это следует учитывать. Он автоматически добавляется компилятором. Если он не существует, кто-то удалил его. Мы также обращаем внимание на IP-адреса, URL и отправляем их в VirusTotal. Стоит иметь дело с фрагментами текста.
4. Фрагменты файла с высокой плотностью нулевых символов — это признак упаковщика.
Анализ энтропии:
1. Высокий уровень энтропии соответствует тому что файл сжат или зашифрован.
2. Фрагменты файла с высоким уровнем энтропии близкий к 8.
3. Фрагменты файлы где уровень энтропии не изменяется.
Для анализа энтропии можно воспользоваться ПО DIE.
Полу динамический анализ:
1. Взаимодействие файла с реестром. (обращать внимание на ветки автозагрузки)
Утилита RegShot делает снимок реестра до и после. (производит сравнение созданных и удаленных веток в реестре)
2. Cетевая активность.
2.1. Запись дампа трафика, исходящего от файлы утилиты, в момент запуска.
2.2. Просмотр на Virus Total: url, ip-addr к которым идет обращение.
2.3 Обратить внимание на использование нестандартных портов.
И, наконец, вы можете использовать онлайн-песочницы.
Источник
Первое, что нам нужно сделать, чтобы избежать заражения инфраструктуры вредоносными программами, это:
- Изолировать потенциально заражений ПК от других сетей
- Сделать дамп оперативной памяти
- Снять образ диска
Лучше всего запустить инструментарий, с помощью которого можно сделать снимок оперативной памяти с внешнего носителя, чтобы не оставлять ненужных следов на жестком диске (данные на жестком диске должны сохраняться без изменений).
Важно помнить следующие:
- В случае заражения компьютера вирусом с помощью вымогателей существует вероятность того, что если сетевое соединение потеряно, вредоносное ПО начнет шифровать все данные на ПК, вам необходимо сначала оценить важность и критичность информации, расположенной на зараженном ПК.
- Чтобы малварь не успела среагировать на выключение системы, проще всего выдернуть кабель питания.
1. Подготовить виртуальную машину с помощью Virtual Box или VMware (Важно актуальной версии), или отдельно выделенный ПК, желательно с Windows 7. Далее следующий софт, который должен быть установлен для благоприятной среды выполнения вредоносного кода:
- Microsoft Office
- .NET Framework
- Microsoft Visual C++ Redistributable
- DirectX
- Python 2,7 Python 3,5
- Java Version 8
- Chrome, Firefox, Opera
- Adobe Acrobat Reader
- Включить поддержку скриптов PowerShell
- Отключение Drag&Drop
- Отключение общих папок
- Отключение буфера обмена
- Отключение от сети. Если интернет нужен настраиваем VPN.
- Удаляем VMware Tools, virtualbox guest additions (малварь может обнаружить данные дополнения и перестать выполняться т.к. выполнение вредоносного кода в виртуальной среде один из признаков ее исследования)
Анализ метаданных файла:
1. Наличие цифровой подписи, желаем о от известных вендоров. Для проверки цифровой подписи можно использовать Sign Tool.
2. Обратите внимание на дату компиляции, если ПО было скомпилировано в ближайшие время это повод задуматься (дату компиляции легко подделать).
Для просмотра даты компиляции можно использовать утилиту CFF Explorer.
3. Зачастую время компиляции файла совпадает с временем залива файла (сэмпла) на VirusTotal (т.к «хакер» проверяет сколько антивирусов обнаружит его малварь).
4. Сравнение хеш суммы файлов, нужно найти оригинальный файл на сайте разработчика и сравнить хеши с потенциально вредоносным.
5. При запуске потенциально вредоносного файла обратить внимание на аномальную нагрузку ресурсов СP, HDD, Network interface можно использовать Process Hacker. (так же данная утилита имеет множество возможностей отследить аномальную активность).
Анализ строк:
1.Нельзя бинарный файл открывать (notepad++, ms word, браузер) могут содержаться эксплойты.
2. Бинарные файлы нужно смотреть HEX редакторами.
3. Если вы отображаете файл в HEX-редакторе в строке PDB, это следует учитывать. Он автоматически добавляется компилятором. Если он не существует, кто-то удалил его. Мы также обращаем внимание на IP-адреса, URL и отправляем их в VirusTotal. Стоит иметь дело с фрагментами текста.
4. Фрагменты файла с высокой плотностью нулевых символов — это признак упаковщика.
Анализ энтропии:
1. Высокий уровень энтропии соответствует тому что файл сжат или зашифрован.
2. Фрагменты файла с высоким уровнем энтропии близкий к 8.
3. Фрагменты файлы где уровень энтропии не изменяется.
Для анализа энтропии можно воспользоваться ПО DIE.
Полу динамический анализ:
1. Взаимодействие файла с реестром. (обращать внимание на ветки автозагрузки)
Утилита RegShot делает снимок реестра до и после. (производит сравнение созданных и удаленных веток в реестре)
2. Cетевая активность.
2.1. Запись дампа трафика, исходящего от файлы утилиты, в момент запуска.
2.2. Просмотр на Virus Total: url, ip-addr к которым идет обращение.
2.3 Обратить внимание на использование нестандартных портов.
И, наконец, вы можете использовать онлайн-песочницы.
Источник
