analiza malware

1. Analiza malware: Pași inițiați

Malware Simptome

Primul pas din ancheta mea a fost identificarea simptomelor provocate de program. Prietenul meu mi-a spus când a început programul, a provocat un ecran albastru al morții, dar nu sa întâmplat nimic când a restart calculatorul. Acest lucru mi-a spus două lucruri despre malware:

Din moment ce "virusul" a provocat un ecran albastru al morții, asta înseamnă că a fost încurcat undeva. Malware intenționează să producă cât mai puține întreruperi, deoarece evenimente cum ar fi un ecran albastru pot avertiza utilizatorul asupra faptului că ceva nu este în regulă.

Programatorul malware nu este avansat. Un autor de malware condimentat nu ar fi suficient de prost pentru a provoca un BSOD. BSOD-urile sunt, de obicei, cauzate de greșeli, cum ar fi indicii null, și alte probleme de memorie de referință. Prin înțelegerea autorului, îi puteți înțelege mai bine lucrarea.

Doar din cauza faptului că virusul a provocat un ecran albastru al morții, am învățat multe despre program și despre autorul acestuia. Prin înțelegerea mai bine a malware-ului și a autorului, pot lua presupuneri educate cu privire la nivelul său de complexitate, precum și motivația și obiectivele.

Colectarea informațiilor despre fișiere

După ce am analizat simptomele, am urmărit în cele din urmă o scurtă privire asupra unor părți ale programului în sine. Am executat toate acestea pe un sistem Linux pentru a preveni infecția accidentală. Chiar și atunci, am executat testele pe un calculator care nu a avut de lucru și unul care a fost izolat de toate rețelele. La fel ca toate celelalte cazuri care implică analize malware, merită să fii atent. Ultimul lucru pe care doriți să-l întâmpinați este să vă infectați accidental, doar să-l răspândiți la alte computere mai importante. Mai târziu, sfârșesc prin utilizarea VMware din acest motiv.

Fișier: Mai întâi rulați utilitarul "fișier" pentru a afla ce anume am de-a face. Rezultatele au arătat acest lucru:

w89e85t5.exe: executabil PE32 pentru MS Windows (consola) Intel 80386 32-bit Mono / .Net de asamblare

Ieșirea îmi spune câteva lucruri. În primul rând, este un executabil portabil, ceea ce înseamnă că este făcut pentru o portabilitate maximă. În contextul acestei analize de malware, acest lucru are sens, deoarece autorul malware va dori să aibă rularea pe cât mai multe tipuri de calculatoare posibil. A doua jumătate a ieșirii ne arată că este făcută pentru a rula pe calculatoare pe 32 de biți și a fost făcută folosind Mono cu Cadrul Net.

Un alt instrument util în analiza malware este un program numit PEiD, care scanează un executabil pentru semne de ambalare. Ambalatoarele sunt utilitare folosite pentru a ucide executabilul, ceea ce face mai dificil pentru inginerii invers să dezasambleze malware-ul folosind programe cum ar fi IDA Pro. PEiD a returnat un rezultat al "Microsoft Visual C # / Basic.NET", confirmând faptul că .NET a fost utilizat în crearea malware-ului. Partea Visual C # mi-a oferit și câteva informații suplimentare despre limba folosită pentru a crea virusul.

2. Analiza malware: Sistemul virtual de calculatoare

După ce am găsit informații preliminare cu privire la malware, am vrut să trec la ceva mai riscant, și anume rularea malware-ului sub un calculator virtual. Răspândirea malware-ului în sistemele virtuale are mai multe avantaje:

- Nu vă îngrijorați de afectarea calculatoarelor de producție

- Nu există riscul de a infecta alte calculatoare în rețea

- mediul "Sandbox"

- Vizualizați malware-ul în habitatul său nativ

Cu toate acestea, există și câteva puncte negative asociate cu difuzarea de programe malware în computerele virtuale:

- Unele programe malware pot fi conștiente de faptul că rulează sub o mașină virtuală

- Malware-ul poate încerca să exploateze și să iasă din mașina virtuală

- Dacă accesul la rețea nu este tăiat, viermii pot încerca să compromită alte sisteme din rețea

Acestea fiind spuse, m-am simțit încrezător că beneficiile au depășit riscurile. De acum înainte, am avut sentimentul că această bucată individuală de malware nu a fost avansată, deci riscul de a detecta că era într-o mașină virtuală și de a-1 exploata efectiv părea subțire. Cu toate acestea, am rulat VM pe Linux, deci chiar dacă a izbucnit, nu a fost în sistemul pe care a fost proiectat să o exploateze (Windows).

Am pornit VMware pe Ubuntu și am încărcat o imagine pe disc pe Windows XP. Cel mai important pas este setarea corectă a rețelei. Am instalat-o cu o conexiune NAT, astfel încât VMware va trimite cererile prin intermediul mașinii gazdă la hardware-ul real. Cu toate acestea, m-am asigurat să rămân permanent deconectat de la rețea. Acest lucru este critic! Ultimul lucru pe care vrei să-l faci când analizezi un vierme este să-l eliberezi pe propriile sisteme.

Odată cu instalarea mașinii virtuale, am mutat totul în poziție, inclusiv prin folosirea Wireshark pentru a îndura traficul de la VMware, care utilizează traficul pe interfața vmnet8.

3. Analiza malware: Analiza traficului de rețea

Execuția inițială nu a arătat prea mult nimic. Nu a fost întâlnit ecran albastru al morții și au fost trimise foarte puține date de rețea. Iată ce a arătat Wireshark:

Pachetele arată în mod clar că malware-ul încearcă să genereze o conexiune cu 23U.NO-IP.INFO de la solicitările DNS pe care le efectuează. Din moment ce nu primește un răspuns, nu mai primim nimic mai mult decât acum. O căutare WHOIS nu a dat rezultate pentru acest domeniu. Instinctul meu mi-a spus că acest lucru era cel mai probabil un tip de încercare a copiilor de script-uri la un botnet. Deci, am incercat sa caut un pic mai mult in traficul de retea. Din moment ce nu aveam de gând să ajung nicăieri fără să contactez serverul însuși, am încercat să conectez mașina virtuală la rețea. Sub ochiul atent oferit de Wireshark, m-am uitat la ce anume făcea acest malware. Luați notă că aceasta nu este metoda preferată, dar am luat toate celelalte computere din rețeaua mea în jos pe durata acestui mic experiment.

4. Analiza malware: Concluzii

În ansamblu, prima mea analiză a malware-ului sălbatic sa dovedit destul de interesantă. Am reușit să iau fișierul necunoscut și să rulez câteva utilități de bază pentru a afla exact ce ascundea. Acest lucru mi-a dat o idee destul de bună despre ceea ce a fost capabil de program și de aici am rulat-o într-un sistem limitat pentru ao vedea în acțiune. Analiza ulterioară mi-a adus un canal botnet IRC, unde am vorbit real cu botmasterul. Nu e rău pentru o primă încercare. Oricum, toate tehnicile folosite în acest exemplu sunt aplicabile și altor eșantioane malware. Important este să fii prudent și să fii răbdător. De multe ori, pur și simplu uitam de traficul de rețea nu va dezvălui complet ceea ce face un vierme sau troian, și în schimb, veți ajunge în cele din urmă necesitatea de a inversa inginer fișierul. Inversarea malware-ului poate fi extrem de consumatoare de timp, mai ales dacă fișierul a fost obfuscat folosind un pachet exe. Mult noroc cu propriile voastre eforturi, și sper că acest lucru a ajutat!