I jagten på malware, bør man finde et system, hvor man kan analysere det. Der er flere måder at gøre det på: Byg dit eget miljø eller brug tredjepartsløsninger.
Brugen en malware sandkasse
En sandkasse gør det muligt at opdage cybertrusler og analysere dem sikkert. Alle oplysninger forbliver sikre, og en mistænkelig fil kan ikke få adgang til systemet. Du kan overvåge malware-processer, identificere deres mønstre og undersøge adfærd. Før du opretter en sandkasse, skal du have et klart mål for, hvad du vil opnå gennem laboratoriet.
Der er to måder, hvordan man organiserer dit arbejdsområde til analyse:
- Brugerdefineret sandkasse. Lavet fra bunden af en analytiker alene, specielt til deres behov.
- En nøglefærdig løsning. En alsidig service med en række konfigurationer, der imødekommer dine krav.
Lad os gennemgå alle trin, du har brug for for at oprette det enkle miljø til malware-analyse:
1 – Installer en virtuel maskine
Kørsel af malware skal ske i et korrekt isoleret miljø for at undgå infektion i et værtsoperativsystem. Det er bedre at have en isoleret computer, men du kan oprette en virtuel maskine eller rettere et par af dem med forskellige versioner af operativsystemer. Der er en masse VM’er præsenteret på markedet: VMWare, VirtualBox, KVM, Oracle VM VirtualBox, Microsoft Hyper-V, Parallels eller Xen.
2 – Kontroller artefakter
Moderne malware er smart – den forstår, om den køres på den virtuelle maskine eller ej. Derfor er det vigtigt at slippe af med artefakter. Kontroller kode, fjern registrering og andre.
3 – Brug et andet netværk
En anden forholdsregel er at bruge et andet netværkssystem. Det er vigtigt at forhindre infektion af andre computere på dit netværk. Få en VPN-tjeneste, og konfigurer den korrekt. Du kan ikke lade trafiklækagen ske fra en rigtig IP-adresse.
4 — Tildel en realistisk mængde ressourcer
Vores mål er at få et system til at se så autentisk ud som muligt for at narre ethvert ondsindet program til at udføre. Sørg for at tildele en realistisk mængde ressourcer: mere end 4 Gb RAM, mindst 4 kerner og diskplads på 100 Gb og mere. Det er et grundlæggende krav for at foregive at være et legitimt system. Og stadig, husk på, at malware kontrollerer konfigurationen af udstyr. Hvis der er en virtuel maskines navn et eller andet sted, identificerer et ondsindet objekt det og holder op med at arbejde.
5 – Installer almindeligt anvendt software
Hvis man installerer Windows og lader det være som det er, vil et ondsindet objekt få, at det analyseres. Installer et par applikationer, som Word, browsere og andre programmer, som alle brugere normalt har.
6 – Åbn flere filer
Her skal vi vise, at det er en rigtig computer, der tilhører nogen. Åbn et par dokumenter for at akkumulere logfiler og et par temp-filer. Flere typer vira kontrollerer dette. Man kan bruge Regshot eller Process Monitor til at foretage logfiler over ændringer i registreringsdatabasen og filsystemet. Bemærk, at disse programmer kan registreres af malware, når den kører.
7 — Efterlign en netværksforbindelse
Nogle former for malware kontrollerer, om den kan oprette forbindelse til websteder som Google. Hvordan narrer man et ondsindet program til at tro, at det er online? Hjælpeprogrammer som INetSim og FakeNet-værktøjet efterligner en rigtig internetforbindelse og giver os mulighed for at opfange de anmodninger, som malware foretager. Prøv at kontrollere netværksprotokoller mellem et ondsindet objekt og dets værtsserver. Men på forhånd skal man finde ud af, hvad den analyserede prøve forbinder med ved hjælp af WireShark. Og det kræver en vis indsats for ikke at opgive dette værktøj til malware, vær forsigtig.
8 – Installer analyseværktøjer
Forbered de værktøjer, du vil bruge til analyse, og sørg for, at du ved, hvordan du bruger dem. Du kan gå med Flare VM-værktøjer eller gøre brug af disse programmer:
Debuggers: x64dbg undersøger ondsindet kode ved at udføre den.
Disassemblere: Ghidra gør reverse engineering lettere med adgang til dekompilerens output. Det kan også bruges som en debugger.
Trafikanalysatorer: Wireshark kontrollerer netværkskommunikation, som malware anmoder om.
Filanalysatorer: Process Monitor, ProcDOT sigter mod at overvåge og forstå, hvordan processer håndterer filer.
Procesmonitorer: Process Explorer, Process Hacker hjælp til at se malware adfærd.
9 – Opdater systemet til den nyeste version
Systemet skal være opdateret såvel som al software. Filtrer de regelmæssige Windows-ændringer, der sker ganske ofte. Eksperimentet kan dog kræve en anden version, f.eks. hvordan malware udnytter nogle OS-fejl. I dette scenarie skal du vælge og få den nødvendige version konfigureret.
10 – Sluk for Windows Defender og Windows firewall.
Deaktiver ting som Windows Defender. Hvis man arbejder med malware, kan det snuble antivirusprogrammet.
11 – Gør filerne klar til analyse
Opret en delt mappe, vælg en mappe, der er brug for.
Konfigurer et øjebliksbillede, der skal rulles tilbage til VM’ens senere tilstand i tilfælde af en fejl.
Hvis man gennemfører alle disse trin, er man klar til at gå og starte analysen.
Er der en mere effektiv mulighed for at analysere malware?
Alle disse trin tager meget tid og forberedelse. Og stadig, der er en chance for, at sandkassen ikke vil være sikker nok, usynlig for malware, og give de nødvendige oplysninger. Så hvad er en bedre løsning? Her kommer den anden mulighed – brug en færdiglavet løsning. Lad os se på ANY.RUN.
ANY.RUN er en online malware sandkasse, som du kan bruge til at opdage, overvåge og analysere trusler. Den bedste del af det er tid og bekvemmelighed:
Det tager kun et par minutter at gennemføre en analyse af en ondsindet prøve.
De fleste af værktøjerne er klar til brug, bare vælg hvad der er brug for og start opgaven.
Filer, system og netværk er helt sikre.
Interfacet er enkelt nok selv for junioranalytikere.
Det kan stadig tilpasses – vælg et operativsystem, softwaresæt, lokalisering og andre detaljer til formålet. Man behøver ikke at installere noget!
To minutter er normalt nok til at knække selv en avanceret malware, og de fleste moderne anti-unddragelse tricks fungerer ikke her. ENHVER. RUN jager dem alle.
Få glæde af en hurtigere løsning
Den bedste oplevelse er ens egen, prøv derfor sandkassen selv og kontroller funktionerne i ANY.RUN.
Skriv “HACKERNEWS” -kampagnekoden i e-mail-emnet på support@any.run og få 14 dage med ANY.RUN gratis!
God jagt!
Kilde: TheHackerNews