Phenquestions
REMnux
Adskillelsen af en computer-malware for at undersøge dens adfærd og forstå, hvad den rent faktisk gør kaldes Malware Reverse Engineering. For at afgøre, om en eksekverbar fil indeholder malware, eller om den bare er en almindelig eksekverbar, eller for at vide, hvad en eksekverbar fil virkelig gør, og hvilken indvirkning den har på systemet, er der en særlig Linux-distribution, der hedder REMnux. REMnux er en let, Ubuntu-baseret distro udstyret med alle de værktøjer og scripts, der er nødvendige for at udføre en detaljeret malware-analyse på en given fil eller software eksekverbar. REMnux er udstyret med gratis og open source-værktøjer, der kan bruges til at undersøge alle typer filer, inklusive eksekverbare filer. Nogle værktøjer i REMnux kan endda bruges til at undersøge uklar eller tilsløret JavaScript-kode og Flash-programmer.
Installation
REMnux kan køres på enhver Linux-baseret distribution eller i en virtuel boks med Linux som værtsoperativsystem. Det første trin er at downloade REMnux distribution fra dets officielle hjemmeside, hvilket kan gøres ved at indtaste følgende kommando:
[e-mail-beskyttet]: ~ $ wget https: // REMnux.org / remnux-cliSørg for at kontrollere, at det er den samme fil, du ønskede, ved at sammenligne SHA1-signaturen. SHA1-signaturen kan produceres ved hjælp af følgende kommando:
[e-mail-beskyttet]: ~ $ sha256sum remnux-cliFlyt det derefter til en anden mappe, der hedder “Remnux” og giv det eksekverbare tilladelser ved hjælp af “Chmod + x.” Kør nu følgende kommando for at starte installationsprocessen:
[e-mail-beskyttet]: ~ $ mkdir remnux[e-mail-beskyttet]: ~ $ cd remnux
[e-mail-beskyttet]: ~ $ mv ... / remux-cli ./
[e-mail-beskyttet]: ~ $ chmod + x remnux-cli
// Installer Remnux
[e-mail-beskyttet]: ~ $ sudo installere remnux
Genstart dit system, så kan du bruge det nyinstallerede REMnux distro indeholdende alle de tilgængelige værktøjer til reverse engineering-proceduren.
En anden nyttig ting ved REMnux er, at du kan bruge dockerbilleder af populære REMnux værktøjer til at udføre en bestemt opgave i stedet for at installere hele distributionen. F.eks RetDec værktøj bruges til at adskille maskinkoden, og det tager input i forskellige filformater, såsom 32-bit / 62-bit exe-filer, elf-filer osv. Rekall er et andet godt værktøj, der indeholder et dockerbillede, der kan bruges til at udføre nogle nyttige opgaver, som at udtrække hukommelsesdata og hente vigtige data. For at undersøge et uklart JavaScript, et værktøj kaldet JSdetox kan også bruges. Docker-billeder af disse værktøjer er til stede i REMnux lager i Docker Hub.
Analyse af malware
-
Entropi
Kontrol af uforudsigelighed af en datastrøm kaldes Entropi. En jævn strøm af databytes, for eksempel alle nuller eller alle, har 0 Entropy. På den anden side, hvis dataene er krypteret eller består af alternative bits, vil de have en højere entropiværdi. En velkrypteret datapakke har en højere entropiværdi end en normal datapakke, fordi bitværdier i krypterede pakker er uforudsigelige og ændres hurtigere. Entropi har en minimumsværdi på 0 og en maksimumværdi på 8. Den primære anvendelse af Entropy i Malware-analyse er at finde malware i eksekverbare filer. Hvis en eksekverbar bestanddel indeholder en ondsindet malware, krypteres den for det meste fuldstændigt, så AntiVirus ikke kan undersøge dens indhold. Entropiniveauet for den slags fil er meget højt sammenlignet med en normal fil, som sender et signal til efterforskeren om noget mistænkeligt i indholdet af en fil. En høj entropiværdi betyder høj forvrængning af datastrømmen, hvilket er en klar indikation af noget fishy.
-
Densitets spejder
Dette nyttige værktøj er oprettet til et enkelt formål: at finde malware i et system. Normalt er det, som angriberne gør, at indpakke malware i krypterede data (eller kode / kryptere det), så det ikke kan detekteres af antivirus-software. Density Scout scanner den angivne filsystemsti og udskriver entropiværdierne for hver fil i hver sti (startende fra højeste til laveste). En høj værdi vil gøre efterforskeren mistænksom, og han eller hun vil undersøge sagen yderligere. Dette værktøj er tilgængeligt til Linux-, Windows- og Mac-operativsystemer. Density Scout har også en hjælpemenu, der viser en række muligheder, den giver, med følgende syntaks:
ubuntu @ ubuntu: ~ densitetsscout --h
-
ByteHist
ByteHist er et meget nyttigt værktøj til at generere en graf eller et histogram i henhold til dataforvrængningsniveauet (entropi) for forskellige filer. Det gør arbejdet med en efterforsker endnu nemmere, da dette værktøj endda gør histogrammer af undersektionerne i en eksekverbar fil. Dette betyder, at efterforskeren nu let kan fokusere på den del, hvor mistanke opstår ved bare at se på histogrammet. Et histogram for en normalt udseende fil ville være helt anderledes end en ondsindet.
Anomali detektion
Malwares kan pakkes normalt ved hjælp af forskellige hjælpeprogrammer, f.eks UPX. Disse værktøjer ændrer overskrifterne på eksekverbare filer. Når nogen forsøger at åbne disse filer ved hjælp af en fejlfinding, kolliderer de modificerede overskrifter fejlfindingsprogrammet, så efterforskere ikke kan se på det. I disse tilfælde, Afvigelse af anomali værktøjer bruges.
-
PE (Portable Executables) -scanner
PE Scanner er et nyttigt script skrevet i Python, der bruges til at detektere mistænkelige TLS-poster, ugyldige tidsstempler, sektioner med mistænkelige entropiniveauer, sektioner med nulængde råstørrelser og malwares pakket i exe-filer, blandt andre funktioner.
-
Exe Scan
Et andet godt værktøj til scanning af exe- eller dll-filer for en mærkelig opførsel er EXE-scanning. Dette hjælpeprogram kontrollerer overskriftsfeltet af eksekverbare filer for mistænkelige entropiniveauer, sektioner med rå størrelser uden længde, kontrolsumforskelle og alle andre typer ikke-regelmæssig opførsel af filer. EXE Scan har fantastiske funktioner, der genererer en detaljeret rapport og automatiserer opgaverne, hvilket sparer meget tid.
Forvirrede strenge
Angribere kan bruge en skiftende metode til at tilsløre strengene i ondsindede eksekverbare filer. Der er visse typer kodning, der kan bruges til tilsløring. For eksempel, RÅDNE kodning bruges til at rotere alle tegnene (mindre og store bogstaver) med et bestemt antal positioner. XOR kodning bruger en hemmelig nøgle eller adgangssætning (konstant) til at kode eller XOR en fil. ROL koder bytes for en fil ved at rotere dem efter et bestemt antal bits. Der er forskellige værktøjer til at udtrække disse forvirrede strenge fra en given fil.
-
XORsearch
XORsearch bruges til at søge efter indhold i en fil, der er kodet ved hjælp af ROT-, XOR- og ROL-algoritmer. Det brute force alle en-byte nøgleværdier. For længere værdier vil dette værktøj tage meget tid, hvorfor du skal angive den streng, du leder efter. Nogle nyttige strenge, der normalt findes i malware, er “http”(Oftest er URL'er skjult i malware-kode), “Dette program” (overskrift på fil ændres ved at skrive "Dette program kan ikke køres i DOS" i mange tilfælde). Efter at have fundet en nøgle kan alle bytes dekodes ved hjælp af den. XTsearch-syntaksen er som følger:
ubuntu @ ubuntu: ~ xorsearch -s-
brutexor
Efter at have fundet nøgler ved hjælp af programmer som xor-søgning, xor-strenge osv., man kan bruge et fantastisk værktøj kaldet brutexor at bruteforce enhver fil for strenge uden at angive en given streng. Når du bruger -f valgmulighed, kan hele filen vælges. En fil kan tvinges hårdt, og strengene, der ekstraheres, kopieres i en anden fil. Efter at have set på de udpakkede strenge kan man derefter finde nøglen, og nu kan man ved hjælp af denne nøgle udpakke alle strengene kodet ved hjælp af den pågældende nøgle.
ubuntu @ ubuntu: ~ brutexor.pyubuntu @ ubuntu: ~ brutexor.py -f -k
Ekstraktion af artefakter og værdifulde data (slettet)
At analysere diskbilleder og harddiske og udtrække artefakter og værdifulde data fra dem ved hjælp af forskellige værktøjer som f.eks Scalpel, Frem for alt, etc., man skal først oprette et bit-for-bit billede af dem, så ingen data går tabt. For at oprette disse billedkopier findes der forskellige værktøjer.
-
dd
dd bruges til at lave et retsmedicinsk billede af et drev. Dette værktøj giver også en integritetskontrol ved at tillade sammenligning af hash af et billede med det originale diskdrev. Dd-værktøjet kan bruges som følger:
ubuntu @ ubuntu: ~ dd hvis =if = Kildedrev (for eksempel / dev / sda)
af = Destinationsplacering
bs = Blokstørrelse (antallet af byte, der skal kopieres ad gangen)
-
dcfldd
dcfldd er et andet værktøj, der bruges til diskbilleddannelse. Dette værktøj er som en opgraderet version af dd-værktøjet. Det giver flere muligheder end dd, såsom hashing på tidspunktet for billeddannelse. Du kan udforske dcfldds muligheder ved hjælp af følgende kommando:
ubuntu @ ubuntu: ~ dcfldd -hAnvendelse: dcfldd [VALG] ..
bs = BYTES kraft ibs = BYTES og obs = BYTES
conv = KEYWORDS konverterer filen i henhold til den kommaseparerede søgeordsliste
count = BLOCKS kopier kun BLOCKS inputblokke
ibs = BYTES læses BYTES byte ad gangen
hvis = FIL læses fra FIL i stedet for stdin
obs = BYTES skriv BYTES byte ad gangen
af = FILE skriv til FILE i stedet for stdout
BEMÆRK: af = FIL kan bruges flere gange til at skrive
output til flere filer samtidigt
af: = COMMAND exec og skriv output for at behandle COMMAND
spring = BLOKKER spring BLOKKER ibs-størrelse blokke ved start af input
mønster = HEX brug det angivne binære mønster som input
textpattern = TEXT brug gentagende TEXT som input
errlog = FILE send fejlmeddelelser til FILE såvel som stderr
hash = NAME enten md5, sha1, sha256, sha384 eller sha512
standardalgoritme er md5. For at vælge flere
algoritmer til at køre samtidigt indtaste navnene
i en komma-adskilt liste
hashlog = FIL send MD5 hash-output til FILE i stedet for stderr
hvis du bruger flere hash-algoritmer dig
kan sende hver til en separat fil ved hjælp af
konvention ALGORITHMlog = FIL, for eksempel
md5log = FILE1, sha1log = FILE2 osv.
hashlog: = COMMAND exec og skriv hashlog for at behandle COMMAND
ALGORITHMlog: = COMMAND fungerer også på samme måde
hashconv = [før | efter] udfør hashing før eller efter konverteringerne
hash-format = FORMAT viser hver hash-vindue i henhold til FORMAT
hash-formatet mini-sprog er beskrevet nedenfor
totalhash format = FORMAT viser den samlede hash-værdi i henhold til FORMAT
status = [on | off] viser en kontinuerlig statusmeddelelse på stderr
standardtilstand er "til"
statusinterval = N opdater statusmeddelelsen hver N blokerer
standardværdien er 256
vf = FILE Kontroller, at FILE matcher det angivne input
verifylog = FILE send verificeringsresultater til FILE i stedet for stderr
verifylog: = COMMAND exec og skriv verificer resultater for at behandle COMMAND
--hjælp med at vise denne hjælp og afslut
--version output version information og exit
-
Frem for alt
Først og fremmest bruges til at skære data ud af en billedfil ved hjælp af en teknik kendt som filskæring. Hovedfokus for filudskæring er udskæringsdata ved hjælp af sidehoveder og sidefødder. Dens konfigurationsfil indeholder flere overskrifter, som kan redigeres af brugeren. Fremhæver først og fremmest overskrifterne og sammenligner dem med dem i konfigurationsfilen. Hvis den stemmer overens, vises den.
-
Scalpel
Scalpel er et andet værktøj, der bruges til datahentning og dataekstraktion og er forholdsvis hurtigere end først og fremmest. Scalpel ser på det blokerede datalagringsområde og begynder at gendanne de slettede filer. Inden du bruger dette værktøj, skal linjen med filtyper ikke kommenteres ved fjernelse # fra den ønskede linje. Scalpel er tilgængelig til både Windows- og Linux-operativsystemer og betragtes som meget nyttigt i retsmedicinske undersøgelser.
-
Bulk Extractor
Bulk Extractor bruges til at udtrække funktioner, såsom e-mail-adresser, kreditkortnumre, URL'er osv. Dette værktøj indeholder mange funktioner, der giver enorm hastighed til opgaverne. Til dekomprimering af delvist beskadigede filer anvendes Bulk Extractor. Det kan hente filer som jpgs, pdfs, word-dokumenter osv. Et andet træk ved dette værktøj er, at det opretter histogrammer og grafer over gendannede filtyper, hvilket gør det meget lettere for efterforskere at se på ønskede steder eller dokumenter.
Analyse af PDF-filer
At have et fuldt patchet computersystem og det nyeste antivirus betyder ikke nødvendigvis, at systemet er sikkert. Ondsindet kode kan komme ind i systemet hvor som helst, inklusive PDF-filer, ondsindede dokumenter osv. En pdf-fil består normalt af et overskrift, objekter, en krydshenvisningstabel (for at finde artikler) og en trailer. “/ OpenAction” og “/ AA” (yderligere handling) sikrer, at indholdet eller aktiviteten kører naturligt. “/ Navne,” “/ AcroForm,” og "/Handling" kan ligeledes angive og sende indhold eller aktiviteter. “/ JavaScript” angiver, at JavaScript skal køre. "/Gå til*" ændrer visningen til et foruddefineret mål inde i PDF-filen eller i en anden PDF-post. “/ Start” sender et program eller åbner et arkiv. “/ URI” opnår et aktiv ved sin URL. “/ Send formular” og “/ GoToR” kan sende oplysninger til URL'en. “/ RichMedia” kan bruges til at installere Flash i PDF. “/ ObjStm” kan skjule genstande inde i en objektstrøm. Vær for eksempel opmærksom på forveksling med hex-koder, “/ JavaScript” imod “/ J # 61vaScript.” Pdf-filer kan undersøges ved hjælp af forskellige værktøjer til at afgøre, om de indeholder ondsindet JavaScript eller shellcode.
-
pdfid.py
pdfid.py er et Python-script, der bruges til at få oplysninger om en PDF og dens overskrifter. Lad os se på tilfældig analyse af en PDF ved hjælp af pdfid:
ubuntu @ ubuntu: ~ python pdfid.py ondsindet.pdfPDFiD 0.2.1 / hjem / ubuntu / Desktop / ondsindet.pdf
PDF-overskrift:% PDF-1.7
obj 215
215
strøm 12
slutstrøm 12
xref 2
trailer 2
startxref 2
/Side 1
/ Krypter 0
/ ObjStm 2
/ JS 0
/ JavaScript 2
/ AA 0
/ OpenAction 0
/ AcroForm 0
/ JBIG2Dekode 0
/ RichMedia 0
/ Start 0
/ EmbeddedFile 0
/ XFA 0
/ Farver> 2 ^ 24 0
Her kan du se, at der er en JavaScript-kode inde i PDF-filen, som oftest bruges til at udnytte Adobe Reader.
-
peepdf
peepdf indeholder alt, hvad der er nødvendigt til PDF-filanalyse. Dette værktøj giver efterforskeren et kig på kodning og dekodning af strømme, metadata redigering, shellcode, udførelse af shellcodes og ondsindet JavaScript. Peepdf har underskrifter for mange sårbarheder. Når du kører den med en ondsindet pdf-fil, udsætter peepdf enhver kendt sårbarhed. Peepdf er et Python-script, og det giver en række muligheder for analyse af en PDF. Peepdf bruges også af ondsindede kodere til at pakke en PDF med ondsindet JavaScript, udført ved åbning af PDF-filen. Shellcode-analyse, udvinding af ondsindet indhold, udpakning af gamle dokumentversioner, objektændring og filterændring er blot nogle af dette værktøjs brede vifte af muligheder.
ubuntu @ ubuntu: ~ python peepdf.py ondsindet.pdfFil: ondsindet.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Størrelse: 263069 bytes
Version: 1.7
Binær: sandt
Lineariseret: Falsk
Krypteret: Falsk
Opdateringer: 1
Objekter: 1038
Strømme: 12
URI'er: 156
Kommentarer: 0
Fejl: 2
Strømme (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Xref-streams (1): [1038]
Objektstrømme (2): [204, 705]
Kodet (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Objekter med URI'er (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
Mistænkelige elementer: / Navne (1): [200]
Gøgsandkasse
Sandboxing bruges til at kontrollere opførsel af uprøvede eller utroede programmer i et sikkert, realistisk miljø. Efter at have lagt en fil i Gøgsandkasse, i løbet af få minutter afslører dette værktøj al relevant information og adfærd. Malwares er det vigtigste våben for angribere og Gøg er det bedste forsvar man kan have. I dag er det ikke nok bare at vide, at en malware går ind i et system og fjerner det, og en god sikkerhedsanalytiker skal analysere og se på programmets opførsel for at bestemme effekten på operativsystemet, hele dets kontekst og dets hovedmål.
Installation
Gøg kan installeres på Windows-, Mac- eller Linux-operativsystemer ved at downloade dette værktøj via det officielle websted: https: // cuckoosandbox.org /
For at Gøg skal fungere problemfrit, skal man installere et par Python-moduler og biblioteker. Dette kan gøres ved hjælp af følgende kommandoer:
ubuntu @ ubuntu: ~ sudo apt-get install python python-pippython-dev mongodb postgresql libpq-dev
For at Gøg skal vise output, der afslører programmets opførsel på netværket, kræves en pakkesniffer som tcpdump, som kan installeres ved hjælp af følgende kommando:
ubuntu @ ubuntu: ~ sudo apt-get install tcpdumpFor at give Python-programmør SSL-funktionalitet til implementering af klienter og servere kan m2crypto bruges:
ubuntu @ ubuntu: ~ sudo apt-get install m2cryptoAnvendelse
Gøg analyserer en række forskellige filtyper, herunder PDF-filer, word-dokumenter, eksekverbare filer osv. Med den nyeste version kan selv websteder analyseres ved hjælp af dette værktøj. Gøg kan også droppe netværkstrafik eller dirigere den gennem en VPN. Dette værktøj dumper endda netværkstrafik eller SSL-aktiveret netværkstrafik, og det kan analyseres igen. PHP-scripts, URL'er, html-filer, visuelle grundlæggende scripts, zip, dll-filer og næsten enhver anden type fil kan analyseres ved hjælp af Cuckoo Sandbox.
For at bruge gøg skal du indsende en prøve og derefter analysere dens virkning og opførsel.
For at indsende binære filer skal du bruge følgende kommando:
# gøg indsendFor at indsende en URL skal du bruge følgende kommando:
# gøg indsendFor at opsætte en timeout til analyse skal du bruge følgende kommando:
# gøg send timeout = 60'erneFor at indstille en højere egenskab for en given binær skal du bruge følgende kommando:
# gøg indsende - prioritet 5Den basale syntaks for gøg er som følger:
# gøg indsende - pakkeeks - argumenter for valg = dosometaskNår analysen er afsluttet, kan et antal filer ses i biblioteket "CWD / opbevaring / analyse," indeholdende resultaterne af analysen på de leverede prøver. Filerne i denne mappe indeholder følgende:
- Analyse.log: Indeholder procesresultaterne i løbet af analysetidspunktet, såsom runtime-fejl, oprettelse af filer osv.
- Hukommelse.dump: Indeholder analyse af fuld hukommelsesdump.
- Dump.pcap: Indeholder netværksdump oprettet af tcpdump.
- Filer: Indeholder alle filer, som malware har arbejdet på eller påvirket.
- Dump_sorted.pcap: Indeholder en let forståelig form for dump.pcap-fil for at slå TCP-strømmen op.
- Logs: Indeholder alle oprettede logfiler.
- Skud: Indeholder snapshots af skrivebordet under behandling af malware eller i den tid, malware kørte på Cuckoo-systemet.
- Tlsmaster.txt: Indeholder TLS-masterhemmeligheder fanget under udførelse af malware.
Konklusion
Der er en generel opfattelse af, at Linux er virusfri, eller at chancen for at få malware på dette operativsystem er meget sjælden. Mere end halvdelen af webserverne er Linux- eller Unix-baserede. Med så mange Linux-systemer, der betjener websteder og anden internettrafik, ser angribere en stor angrebsvektor i malware til Linux-systemer. Så selv daglig brug af AntiVirus-motorer ville ikke være nok. For at forsvare mod malware-trusler er der mange Antivirus- og slutpunktssikkerhedsløsninger tilgængelige. Men at analysere en malware manuelt, REMnux og gøgsandkasse er de bedste tilgængelige muligheder. REMnux leverer en bred vifte af værktøjer i et let, let at installere distributionssystem, der ville være godt for enhver retsmedicinsk efterforsker til at analysere ondsindede filer af alle typer til malware. Nogle meget nyttige værktøjer er allerede beskrevet detaljeret, men det er ikke alt, hvad REMnux har, det er bare toppen af isbjerget. Nogle af de mest nyttige værktøjer i REMnux-distributionssystemet inkluderer følgende:
For at forstå opførslen af et mistænkeligt, utro eller tredjepartsprogram skal dette værktøj køres i et sikkert, realistisk miljø, såsom Gøgsandkasse, så skader ikke kan gøres på værtsoperativsystemet.
Brug af netværkskontroller og systemhærdningsteknikker giver systemet et ekstra lag af sikkerhed. Incidentrespons eller digitale retsmedicinske efterforskningsteknikker skal også opgraderes regelmæssigt for at overvinde malware-trusler mod dit system.
