Come analizzare il malware per scoprire dove keylogger ha inviato i dati?

1

Recentemente il mio antivirus ha rilevato alcuni keylogger che hanno infettato la mia rete. Ho quei file di malware e voglio analizzarli.

Come posso fare questa analisi? È importante scoprire dettagli come dove vengono inviati quei registri. Almeno ho bisogno di un indizio per indagare.

    
posta R1- 15.05.2018 - 08:42
fonte

2 risposte

6

Se non sei un esperto in questa abilità, ci sono ancora alcuni strumenti di analisi malware automatizzati che puoi utilizzare per ottenere alcune informazioni dai file.

Le sandbox possono essere uno strumento molto utile e Cuckoo è probabilmente quello più conosciuto. Puoi configurarlo tu stesso oppure trovare sandbox Cuckoo online . Cuckoo ti dirà quali query DNS sono state fatte e quali connessioni HTTP sono state tentate oltre a molti altri dettagli.

È possibile replicare una parte del funzionamento della sandbox eseguendo il malware in una VM chiusa e monitorando le connessioni di rete e le eventuali modifiche apportate al file system. Questo ti dà solo una piccola quantità di informazioni (ed è molto rischioso eseguire malware sconosciuti nella tua VM se non sai cosa stai facendo), ma è anche un'opzione.

Se hai alcune abilità, allora potresti voler eseguire un debugger e vedere esattamente come viene eseguito, ma questa è un'abilità avanzata.

Esistono, naturalmente, numerosi strumenti commerciali disponibili.

    
risposta data 15.05.2018 - 10:50
fonte
4

L'analisi del malware richiede conoscenze sul reverse engineering e, a seconda della complessità del malware, potrebbe essere un vero problema comprendere come funziona. Se non hai mai aperto IDA o OllyDbg, ad esempio, non è necessario provare ad analizzare i tuoi file da solo (senza sapere come sono fatte le cose: assemblaggio, reverse engineering, disimballaggio ...)

Ora se vuoi solo monitorare la tua rete, come ha detto @schroeder, eseguendo i tuoi file dannosi su una VM, eseguendo Wireshark per l'esempio probabilmente farà il trucco.

Ecco alcuni servizi di analisi online di sandbox / malware che puoi utilizzare per ottenere informazioni "approfondite" sul tuo keylogger:

Controlla questo link , elenca alcuni sandbox e servizi di analisi malware gratuiti gratuiti.

    
risposta data 15.05.2018 - 14:55
fonte

Leggi altre domande sui tag