Krec

Сбор системы для анализа

В этой теме 53 сообщений

Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Можно как бесплатные , так и платные. Лишь бы исключить ложные детекты, т.е. был качественный анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sansero.ee

Honeypot - ну он не очень подходит, он же для ловушки.. а мне для анализа..

ну да ладно, может он больше возможности даст.. и какой софт под него лучше исползовать? я никогда не ставил Honeypot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

ProcMon. Можно отдельными утилитами - FileMon, RegMon, RegShot.

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

Wireshark, Give Me Too...

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

CFF Explorer, Hiew, LordPE...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Реализаций хонейпотев много, как правило они содержат в себе всё необходимое для анализа...

KFSensor за 600 баксов подойдет ?...

Хочешь анализировать сам, Русинович тебе в помощь....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ситуация такая, что мне надо попробовать в одном моделе это все реализовать ну или на двух: первыая - для сетевого анализа, а второй - для исследования malware(поведентческий анализ). сигнатурного не буду, т.к. дизассемблирование почти не знаю.

Вот давно я еще работаю с утилитами Руссиновича, но мне кажался, что они как бы для "home" использования. А вот для серьезных работ, чтоб в презентациях или в научных докладах можно было ссылатся - не знаю насколько серьезно это будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Ок. тогда возьму на вооружение Systernal в качестве

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

Следующий этап - анализ/контроль трафика.

Что лучше использовать для перехвата/анализа трафика? Я как то смотрел Wireshark, но он не умеет вроде делать ARP спуфинг. А вот cain умеет делать спуфинг и пароли из сети снять, но за то не умеет протоколировать все сетевые соединения... есть ли что то два в одном(2in1) решеине?

Или использовать два вместе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Следующий этап - анализ/контроль трафика.

CommView®.Один из лучших снифферов, ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Как насчёт Online Sandbox's?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CommView®.Один из лучших снифферов, ИМХО.

да, тоже имеет мето.. только можете сказать чем он лучше от WireShark_а? Если будет отличия серьезные - возьму CommView.

Как насчёт Online Sandbox's?

А они сигнатурно анализируют? Или проводят дизассемблирование и все по полочкам ложат: кто/куда/зачем/что ?

Как бы смысла нету использовать его, что они на подожие virustotal.

Еще бы хотел что то типа снятие и восстановление снапшотов, как в VMWare. Допустим делаю снапшот в начале анализа, а после - возврашаю все в осходное положение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

к сожалению очень убогий сервис :(

ради теста погрузил файл qip.exe (типа аська), но показать только 2 параметра: создает 1 ключ в реесре и в просессе svhost запускает что то свое (или кактам... )

Нет никаких описаний каких библиотех обрашается, какие файлы временные создает или наконец куда подключится будет.

тоже самое привел анализ загрузчик mail agent:

2 ключа в реестр, создание несколько файлов в папке C:\Documents and Settings\User\Application Data\MRA, один процесс wmiprvse.exe, несколько создание поток, загрузка 4_х модулей и какие то непонятные C:\TEST\sample.exe (у еня нет такой папки и файла)

Ну и что ожидал видеть - это куда он соединяется.. но тоже нет никакой инфомрации..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
к сожалению очень убогий сервис

Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

ну в общем, это оставим пока...

надо с другими пунктами разобратся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sanboxie можно настроить для анализа на локальной тачке.

Нужно:

1. Buster Sandbox Analyzer, SBIExtra, Antidel.

2. Прямые руки

3. Немного мозгов и логики для анализа файла конфигурации сандбокса.

Пожалуй все.

Настройки самого сандбокса надо ставить так:

1. В восстановлении НИЧЕГО не должно быть указано.

2. В разделе "удаление" тоже не должно быть всяких галок или добавленных папок или программ.

3. В разделе "ограничения" необходимо запретить доступ в интернет, низкоуровневый доступ к диску, но в разделах "запуск" и "забрать права" негде не должно стоять галок и путей.

ТЕПЕРЬ САМОЕ ВАЖНОЕ.

Buster Sandbox Analyzer имеет в составе несколько dll с общем именем LOG_API*, ту у которой имя LOG_API_VERBOSE.dll надо сменить на, например на LAPD.dll.

После того как скачали Buster Sandbox Analyzer, SBIExtra, Antidel создаем в папке с сандбоксом, папку Plugins. В эту папку закидываем Buster Sandbox Analyzer, SBIExtra, Antidel.

Файл настройки песочницы я сейчас закину. Расширение файла заменить на .ini.

Содержимое папки Plugins

Что нужно знать по файлу настройки:

В разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, у меня это выглядит так: FileRootPath=C:\Sandbox\User\BSA

Потом идет раздел [userSettings_xxxxx], там ничего интересного, пропускаем.

Самое интересное начинается в следующем разделе(название совпадает с именем песочницы, у меня это BSA)

Порядок внедрения dll НЕ ИЗМЕНЯТЬ. Но я все таки покажу как должен выглядеть раздел BSA, разве что только пути могут быть разными.

InjectDll=C:\Program Files\Sandboxie\Plugins\sbixtra.dllInjectDll=C:\Program Files\Sandboxie\Plugins\antidel.dllInjectDll=C:\Program Files\Sandboxie\Plugins\LAPD.DLLOpenWinClass=TFormBSAEnabled=yConfigLevel=7BoxNameTitle=nBorderColor=#0000FFNotifyInternetAccessDenied=nTemplate=BlockPortsTemplate=AutoRecoverIgnoreTemplate=Firefox_Phishing_DirectAccessTemplate=LingerProgramsClosedFilePath=InternetAccessDevices

Потом запускаем bsa.exe, в Options - Analysis mode ставим Manual. Далее в Options - Program Options - Windows Shell Integration - Add right-clik action "Run BSA".

Как бы все.

Если есть вопросы, задаем, не стесняемся :).

Sandboxie.txt

Sandboxie.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

CatalystX

так, так )) вопрос полюбому есть и думаю не один..

Sanboxie можно настроить для анализа на локальной тачке.

тут имеется ввиду саму технологию или это отдельное ПО ?

потом хотел бы узнать:

там есть возможность отката, что то типа снапшотов?

Это ПО/технология какие мо задачи порешит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тут имеется ввиду саму технологию или это отдельное ПО ?

Sanboxie это программа.

там есть возможность отката, что то типа снапшотов?

Чистка песочницы.

Это ПО/технология какие мо задачи порешит?

Sanboxie может отслеживать API - вызовы запущенного там приложения, отслеживать изменения в реестре, перехватывать сетевой трафик выполнении и еще несколько плюшек(типа анализа на VT).

Sanboxie не может отслеживать руткиты режима ядра(TDL, Sinowal/Mebroot, SST итд) поскольку они требуют установки своего драйвера, но тем не менее может выявить установку драйвера.

Одно замечание, Sanboxie без плагинов для анализа(их список я привел в посте №17) обеспечивает только изоляцию подозрительного процесса от винды. И насчет файла конфигурации, в разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, но так может быть, что после установки сандбокса в конфиге может не оказаться этого параметра, не паникуем и прописываем путь вручную.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Полностью закроет вопрос по сетевому анализу признанный опенсорсный монстр -- Wireshark. Лично я нахожу CommView неудобным.

Только, имхо, вам не хватит опыта для адекватного анализа (я не про анализ пакетов, а вообще).

Попробуйте для начала поставить себе простую задачу, а не глобальное "хочу знать об exe'шнике всё". Например, выловить какой-нибудь троянец или кейлоггер, сконфигурированный каким-то скрипт-кидди. Выяснить, каким образом он пересылает данные злоумышленнику (по FTP, SMTP, еще как). Вытянуть данные аутентификации. Зайти и уничтожить все данные и логи, которые найдете.

При решении этой задачи у вас возникнет множество подзадач и желание выяснить "а как?", и в итоге вы приобретете ценный опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

shaana

да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Преследуется по Закону, так что, а-та-та...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sansero.ee

:D что поделать? наука требует жертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

Как раз наоборот. Wireshark знает практически любой протокол, имеет гибчайшие настройки для фильтров, удобнейший follow stream и бла-бла-бла.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Я не буду расписываться за всё семейство Zeus, ибо его модификаци

Вообще позанимайтесь для саморазвития ethical hacking'ом, и вас более-менее станет ясно, что в жизни возможно, а что -- нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...