Spesso mi imbatto in dispositivi infetti nel mio ambiente e vorrei saperne di più sulle infezioni specifiche che sono penetrate. Quali sono i migliori strumenti e le tecniche che potrei usare per fare questo? Stavo pensando di prendere un'immagine del dispositivo e creare una macchina virtuale in modo da poter eseguire test, ucciderlo e creare un nuovo vm infetto da zero.
L'analisi dei malware dovrebbe essere eseguita in una VM preferibilmente disconnessa da Internet. Questo è principalmente per proteggere il tuo sistema e impedirne la diffusione (se il malware ha questa capacità). È inoltre possibile utilizzare istantanee o, talvolta, configurare una VM per non mantenere mai lo stato. VirtualBox è gratuito e farà il lavoro. VMware Player è anche gratuito, ma limitato. Non consente purtroppo l'uso di istantanee.
Ci sono vari strumenti disponibili per aiutarti con l'analisi del malware. La disconnessione da Internet può talvolta impedire al malware di eseguire il suo codice dannoso. Ci sono un paio di strumenti sandboxing che ascolteranno sulle porte e risponderanno alle richieste di rete in modo appropriato per costringere il malware a continuare a funzionare. Quello consigliato da Practical Malware Analysis è FakeNet . Con FakeNet puoi persino progettare risposte personalizzate a protocolli proprietari e / o porte non standard.
Cuckoo Sandbox è uno strumento open source in grado di fornire report di analisi sul malware durante il suo funzionamento. È in grado di tenere traccia delle chiamate di sistema, mantenere le copie dei file creati (anche se successivamente cancellati) dal malware e fornire i dump della memoria dell'intero sistema. Uno strumento molto potente.
La maggior parte dei malware è piena, quindi è necessario assicurarsi di poter decomprimere i binari, estrarre risorse, ecc. UPX è il più comune. CFF Explorer è molto utile per analizzare le risorse e include un'utilità UPX. Potresti voler controllare questi 5 strumenti consigliati da MAMB.
Questi strumenti ti daranno un'idea di cosa sta facendo il malware su un sistema. Tuttavia, se hai bisogno di approfondire i dettagli grintosi, ti consigliamo di utilizzare il tuo IDA Pro . Questo è principalmente per malware più complicati che non puoi forzare a eseguire. Alcuni malware verranno avviati in thread sospesi per essere eseguiti successivamente. Alcuni sanno solo che non sei connesso a Internet tramite i propri controlli. Quindi dovrai dipendere dallo smontaggio per capire cosa stanno cercando di realizzare.
Altri strumenti utili, debugger. Windbg o Ollydbg sono i due più comuni, ma ci sono molte opzioni. Ti consente di collegarti al pezzo di malware mentre è in esecuzione, imposta i punti di interruzione, controlla la memoria, ecc.
Potresti prendere un'immagine di memoria con Moonsols DumpIt e analizzare l'immagine con Volatilità. È inoltre possibile utilizzare Mandiant Redline per raccogliere un'immagine di memoria ed eseguire analisi generiche su ciò che potrebbe essere negativo.
Se disponi di una configurazione della porta tocco o span, puoi tornare indietro e analizzare i pacchetti se esegui l'acquisizione di pacchetti completi.
Potresti usare strumenti sysinternals come autorun, process explorer e process monitor per avere un'idea veloce di cosa sta succedendo.
Una volta che sei in grado di isolare il malware, puoi copiarlo ed eseguirlo in una sandbox come malwr o in una VM sicura come hai detto. Consiglierei di esaminare il libro Analisi pratica del malware su come configurare in modo sicuro una VM e quali strumenti utilizzare per l'analisi sia dinamica che statica.
Leggi altre domande sui tag reverse-engineering virtualization malware sandbox