Перейти к содержанию

Recommended Posts

Krec

Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Можно как бесплатные , так и платные. Лишь бы исключить ложные детекты, т.е. был качественный анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Sansero.ee

Honeypot - ну он не очень подходит, он же для ловушки.. а мне для анализа..

ну да ладно, может он больше возможности даст.. и какой софт под него лучше исползовать? я никогда не ставил Honeypot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

ProcMon. Можно отдельными утилитами - FileMon, RegMon, RegShot.

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

Wireshark, Give Me Too...

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

CFF Explorer, Hiew, LordPE...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Реализаций хонейпотев много, как правило они содержат в себе всё необходимое для анализа...

KFSensor за 600 баксов подойдет ?...

Хочешь анализировать сам, Русинович тебе в помощь....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

ситуация такая, что мне надо попробовать в одном моделе это все реализовать ну или на двух: первыая - для сетевого анализа, а второй - для исследования malware(поведентческий анализ). сигнатурного не буду, т.к. дизассемблирование почти не знаю.

Вот давно я еще работаю с утилитами Руссиновича, но мне кажался, что они как бы для "home" использования. А вот для серьезных работ, чтоб в презентациях или в научных докладах можно было ссылатся - не знаю насколько серьезно это будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Ок. тогда возьму на вооружение Systernal в качестве

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

Следующий этап - анализ/контроль трафика.

Что лучше использовать для перехвата/анализа трафика? Я как то смотрел Wireshark, но он не умеет вроде делать ARP спуфинг. А вот cain умеет делать спуфинг и пароли из сети снять, но за то не умеет протоколировать все сетевые соединения... есть ли что то два в одном(2in1) решеине?

Или использовать два вместе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
Следующий этап - анализ/контроль трафика.

CommView®.Один из лучших снифферов, ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Как насчёт Online Sandbox's?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
CommView®.Один из лучших снифферов, ИМХО.

да, тоже имеет мето.. только можете сказать чем он лучше от WireShark_а? Если будет отличия серьезные - возьму CommView.

Как насчёт Online Sandbox's?

А они сигнатурно анализируют? Или проводят дизассемблирование и все по полочкам ложат: кто/куда/зачем/что ?

Как бы смысла нету использовать его, что они на подожие virustotal.

Еще бы хотел что то типа снятие и восстановление снапшотов, как в VMWare. Допустим делаю снапшот в начале анализа, а после - возврашаю все в осходное положение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana

http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

к сожалению очень убогий сервис :(

ради теста погрузил файл qip.exe (типа аська), но показать только 2 параметра: создает 1 ключ в реесре и в просессе svhost запускает что то свое (или кактам... )

Нет никаких описаний каких библиотех обрашается, какие файлы временные создает или наконец куда подключится будет.

тоже самое привел анализ загрузчик mail agent:

2 ключа в реестр, создание несколько файлов в папке C:\Documents and Settings\User\Application Data\MRA, один процесс wmiprvse.exe, несколько создание поток, загрузка 4_х модулей и какие то непонятные C:\TEST\sample.exe (у еня нет такой папки и файла)

Ну и что ожидал видеть - это куда он соединяется.. но тоже нет никакой инфомрации..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
к сожалению очень убогий сервис

Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

ну в общем, это оставим пока...

надо с другими пунктами разобратся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Sanboxie можно настроить для анализа на локальной тачке.

Нужно:

1. Buster Sandbox Analyzer, SBIExtra, Antidel.

2. Прямые руки

3. Немного мозгов и логики для анализа файла конфигурации сандбокса.

Пожалуй все.

Настройки самого сандбокса надо ставить так:

1. В восстановлении НИЧЕГО не должно быть указано.

2. В разделе "удаление" тоже не должно быть всяких галок или добавленных папок или программ.

3. В разделе "ограничения" необходимо запретить доступ в интернет, низкоуровневый доступ к диску, но в разделах "запуск" и "забрать права" негде не должно стоять галок и путей.

ТЕПЕРЬ САМОЕ ВАЖНОЕ.

Buster Sandbox Analyzer имеет в составе несколько dll с общем именем LOG_API*, ту у которой имя LOG_API_VERBOSE.dll надо сменить на, например на LAPD.dll.

После того как скачали Buster Sandbox Analyzer, SBIExtra, Antidel создаем в папке с сандбоксом, папку Plugins. В эту папку закидываем Buster Sandbox Analyzer, SBIExtra, Antidel.

Файл настройки песочницы я сейчас закину. Расширение файла заменить на .ini.

Содержимое папки Plugins

Что нужно знать по файлу настройки:

В разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, у меня это выглядит так: FileRootPath=C:\Sandbox\User\BSA

Потом идет раздел [userSettings_xxxxx], там ничего интересного, пропускаем.

Самое интересное начинается в следующем разделе(название совпадает с именем песочницы, у меня это BSA)

Порядок внедрения dll НЕ ИЗМЕНЯТЬ. Но я все таки покажу как должен выглядеть раздел BSA, разве что только пути могут быть разными.

InjectDll=C:\Program Files\Sandboxie\Plugins\sbixtra.dllInjectDll=C:\Program Files\Sandboxie\Plugins\antidel.dllInjectDll=C:\Program Files\Sandboxie\Plugins\LAPD.DLLOpenWinClass=TFormBSAEnabled=yConfigLevel=7BoxNameTitle=nBorderColor=#0000FFNotifyInternetAccessDenied=nTemplate=BlockPortsTemplate=AutoRecoverIgnoreTemplate=Firefox_Phishing_DirectAccessTemplate=LingerProgramsClosedFilePath=InternetAccessDevices

Потом запускаем bsa.exe, в Options - Analysis mode ставим Manual. Далее в Options - Program Options - Windows Shell Integration - Add right-clik action "Run BSA".

Как бы все.

Если есть вопросы, задаем, не стесняемся :).

Sandboxie.txt

Sandboxie.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

так, так )) вопрос полюбому есть и думаю не один..

Sanboxie можно настроить для анализа на локальной тачке.

тут имеется ввиду саму технологию или это отдельное ПО ?

потом хотел бы узнать:

там есть возможность отката, что то типа снапшотов?

Это ПО/технология какие мо задачи порешит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
тут имеется ввиду саму технологию или это отдельное ПО ?

Sanboxie это программа.

там есть возможность отката, что то типа снапшотов?

Чистка песочницы.

Это ПО/технология какие мо задачи порешит?

Sanboxie может отслеживать API - вызовы запущенного там приложения, отслеживать изменения в реестре, перехватывать сетевой трафик выполнении и еще несколько плюшек(типа анализа на VT).

Sanboxie не может отслеживать руткиты режима ядра(TDL, Sinowal/Mebroot, SST итд) поскольку они требуют установки своего драйвера, но тем не менее может выявить установку драйвера.

Одно замечание, Sanboxie без плагинов для анализа(их список я привел в посте №17) обеспечивает только изоляцию подозрительного процесса от винды. И насчет файла конфигурации, в разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, но так может быть, что после установки сандбокса в конфиге может не оказаться этого параметра, не паникуем и прописываем путь вручную.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana
Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Полностью закроет вопрос по сетевому анализу признанный опенсорсный монстр -- Wireshark. Лично я нахожу CommView неудобным.

Только, имхо, вам не хватит опыта для адекватного анализа (я не про анализ пакетов, а вообще).

Попробуйте для начала поставить себе простую задачу, а не глобальное "хочу знать об exe'шнике всё". Например, выловить какой-нибудь троянец или кейлоггер, сконфигурированный каким-то скрипт-кидди. Выяснить, каким образом он пересылает данные злоумышленнику (по FTP, SMTP, еще как). Вытянуть данные аутентификации. Зайти и уничтожить все данные и логи, которые найдете.

При решении этой задачи у вас возникнет множество подзадач и желание выяснить "а как?", и в итоге вы приобретете ценный опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

shaana

да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Преследуется по Закону, так что, а-та-та...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Sansero.ee

:D что поделать? наука требует жертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana
да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

Как раз наоборот. Wireshark знает практически любой протокол, имеет гибчайшие настройки для фильтров, удобнейший follow stream и бла-бла-бла.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Я не буду расписываться за всё семейство Zeus, ибо его модификаци

Вообще позанимайтесь для саморазвития ethical hacking'ом, и вас более-менее станет ясно, что в жизни возможно, а что -- нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • BooiCasino
    • BooiCasino
    • BooiCasino
      20 линейные игровые автоматы
      3д игровые автоматы
      777 игровые автоматы
      777 игровые автоматы онлайн
      aztec игровой автомат
      book of ra бесплатно
      book of ra играть
      borderlands 2 игровые автоматы
      casino игровые автоматы
      casino отзывы
      casino платья
      casino скачать
      crazy monkey бесплатно
      crazy monkey игровые автоматы бесплатно
      crazy monkey онлайн
      crazy monkey скачать
      slot игровые автоматы
      автомат crazy monkey
      БОНУСЫ КАЗИНО ВУЛКАН от 100 до 400% за депозит 
      Выбирай казино и выигрывай  https://sochi.go-2.link/go/vrZZ?p57552p241174peed9 ВУЛКАН ДЕЛЮКС  https://sochi.go-2.link/go/PgGl?p57552p241175pb7d7 Казино ВаБанк  https://sochi.go-2.link/go/qgdk?p57552p241176pe255 Вулкан клуб
      https://tech.game-bonuses.club/eldorado/main?p57552p241177p7ff1 Эльдорадо  https://sochi.go-2.link/go/BDLB?p57552p241178p459eЛОТОРУ  https://sochi.go-2.link/go/bvrW?p57552p241179pca77 Vulkan Casino https://sochi.go-2.link/go/53ar?p57552p241180p1a18 ВУЛКАН 24 Лучшая подборка казино вулкан  https://richplayland.com/2117r/?refCode=wp_w28424p43_ Вулкан казино https://richplayland.com/2095_24/?refCode=wp_w28424p162_ Вулкан 24 https://richplayland.com/2095_24/?refCode=wp_w28424p162_ Вулкан делюкс https://richplayland.com/2114/?refCode=wp_w28424p46_ Вулкан Слотс https://richplayland.com/1963/?refCode=wp_w28424p129_ Фараон казино https://richplayland.com/1964/?ref=wp_w28424p123_ Вулкан ставка https://richplayland.com/2077/?ref=wp_w28424p3_ Максбет Слотс  https://richplayland.com/1956/?partner=wp_w28424p130_ Вулкан старз https://richplayland.com/8104/?refCode=wp_w28424p122_ Адмирал 777 https://richplayland.com/2085/?ref=wp_w28424p8_ Слотозал казино https://richplayland.com/1959/?refCode=wp_w28424p157_ Эльдорадо казино https://richplayland.com/2084/?refCode=wp_w28424p176_ Джойказино
      бесплатные игровые аппараты
      https://visandgo.co/7jZssN?c=0117S4_OqkD713dcc783d20a39085b&saff_id=583  CasinoShans https://visandgo.co/7jZssN?c=0120S4_OqkD7133a0407cd0dbeba7a&saff_id=583 Furor Casino     https://visandgo.co/7jZssN?c=0114S4_OqkD7132d06a456a0c71770&saff_id=583  Вулкан Олимп     https://visandgo.co/7jZssN?c=0106S4_OqkD713627ec49215571e67&saff_id=583  Вулкан Maximum     http://visandgo.co/7jZssN?c=0091S4_OqkD713cc88948e9566fdf8&saff_id=583 Вулкан Миллион     http://visandgo.co/7jZssN?c=0094S4_OqkD7131efdd7d88cfbcd64&saff_id=583 Вулкан Олимп     http://visandgo.co/ctXWmT?c=0086S4_OqkD7136c8ca804a847a4eb&saff_id=583 Вулкан Prestige     http://visandgo.co/7jZssN?c=0104S4_OqkD71370629306dc83ff47&saff_id=583 Вулкан Победа     http://visandgo.co/7jZssN?c=0102S4_OqkD71329eab51b3dbd73c0&saff_id=583 Вулкан Neon     http://visandgo.co/7jZssN?c=0105S4_OqkD7133a7a4633ec2eeb05&saff_id=583 Admiral888 http://visandgo.co/7jZssN?c=0109S4_OqkD713ab04c78f5d33f76a&saff_id=583 Чудо Слот     http://visandgo.co/7jZssN?c=0108S4_OqkD7135e5931a83728fa89&saff_id=583 Вулкан Гранд    
      бесплатные игровые аппараты 777
      бесплатные игровые аппараты без регистрации
      бесплатные игровые аппараты вулкан
      бесплатные игровые аппараты играть бесплатно
      бесплатные игровые аппараты онлайн
      бесплатные игровые аппараты онлайн играть
      бесплатные игровые гаминатор
      бесплатные игровые клубы
      бесплатные игровые слоты
      бесплатные игровые слоты без регистрации бесплатные симуляторы игровых автоматов играть
      бесплатные старые игровые автоматы
      бесплатные эмуляторы игровых автоматов
      бесплатный book of ra
      бесплатный игровой автомат алькатрас
      бесплатный игровой автомат гладиатор
      бесплатный игровой автомат клубнички
      бесплатный игровой клуб вулкан
      бесплатный игровой клуб вулкан
      бесплатный слот играть онлайн
      бизнес игровые автоматы
      бонус за регистрацию в казино
      бонусы в казино
      бонусы интернет казино
      бонусы онлайн казино
      братва игровой автомат
      вегас игровые автоматы
      веселая ферма русская рулетка онлайн
      видео рулетка онлайн
      видеопокер
      видеопокер играть бесплатно
      видеопокер онлайн
      вип клуб вулкан
      вулкан игровой зал
      вулкан игровые автоматы
      вулкан игровые автоматы 777
      вулкан игровые автоматы бесплатно
      вулкан игровые автоматы на деньги
      вулкан игрософт
      вулкан казино игровые автоматы бесплатно
      вулкан клуб
      вулкан клуб игровые автоматы
      вулкан клуб игровые автоматы
      відео рулетка онлайн платные игровые автоматы
      платы игрософт
      поиграть в бесплатные игровые автоматы
      поиграть в игровые автоматы
      поиграть в игровые автоматы бесплатно
      поиграть в игровые аппараты
      поиграть в игровые аппараты бесплатно
      поиграть онлайн игровые автоматы
      порно игровые автоматы
      пробки игровые автоматы
      продажа игровых автоматов
      продажа игровых аппаратов
      работа в игровых автоматах
      реальное интернет казино
      реальные игровые автоматы
      реальные онлайн игровые автоматы
      рейтинг интернет казино
      рулетка игра онлайн
      рулетка играть онлайн бесплатно
      рулетка онлайн
      рулетка онлайн бесплатно
      рулетка онлайн бесплатно без регистрации
      рулетка онлайн бесплатно чат
      рулетка онлайн на деньги
      рулетка онлайн с девушками
      рулетка с живым дилером
      русская рулетка играть онлайн
      русская рулетка играть онлайн бесплатно
      русская рулетка онлайн
      русская рулетка онлайн бесплатно
      русская рулетка онлайн игра
      русская рулетка ферма играть онлайн
      русские игровые автоматы
      русские игровые автоматы бесплатно
      сайты игровых автоматов
      секреты игровых автоматов
      секс рулетка онлайн
      семерки игровые автоматы
      симулятор игровых автоматов играть
      симулятор игровых аппаратов скачать
      симуляторы игровых автоматов
      симуляторы игровых автоматов бесплатно
      симуляторы игровых автоматов играть бесплатно
      симуляторы игровых автоматов скачать бесплатно
      симуляторы игровых аппаратов
      скайп рулетка онлайн
      скачать crazy игровые автоматы
      скачать азартные игры бесплатные
      скачать бесплатно игровые автоматы компьютер
      скачать бесплатно игровые слоты
      скачать бесплатные игровые аппараты
      скачать бесплатные игры игровые автоматы
      скачать игровые автоматы
      скачать игровые автоматы resident
      скачать игровые автоматы на андроид
      скачать игровые автоматы на компьютер
      скачать игровые аппараты
      скачать игровые слоты
      скачать игру игровые автоматы
      скачать симулятор игровых автоматов
      скачать слоты игровые автоматы бесплатно
      скачать торрент игру игровые автоматы
      скачать эмулятор игровых автоматов бесплатно
      скачать эмуляторы игровых автоматов
      скачать эмуляторы игровых аппаратов
      слот автоматы играть онлайн бесплатно
      слот автоматы онлайн
      слот автоматы онлайн бесплатно
      слотозал 
      слотомания игровые автоматы
      слотомания игровые автоматы бесплатно
      слотомания игровые автоматы играть бесплатно
      слотосфера игровые автоматы
      слотосфера игровые автоматы играть бесплатно
      слоты играть онлайн
      слоты играть онлайн без регистрации
      слоты игровые бесплатно без регистрации
      слоты игровых автоматов вулкан
      слоты игровых автоматов играть бесплатно
      слоты игровых автоматов играть бесплатно
      слоты игровых автоматов скачать
      слоты игровых автоматов скачать
      слоты онлайн
      слоты онлайн без регистрации
      слоты онлайн бесплатно
      слоты онлайн бесплатно без регистрации
      смотреть игровые автоматы
      собачки игровые автоматы
      старые игровые автоматы играть бесплатно
      старые игровые аппараты
      старый игровой автомат
      супер игровые автоматы
      фараон игровые автоматы
      ферма русская рулетка онлайн
      флеш игровые автоматы
      флэш игровых автоматов
      черти игровые автоматы
      эмуляторы игровых автоматов
      эмуляторы игровых автоматов бесплатно
      эмуляторы игровых автоматов играть бесплатно
      эмуляторы игровых аппаратов
    • Ego Dekker
      Антивирусы были обновлены до версии 12.2.23.
    • KarinaDrozd
      Разыскиваются профессиональные дизайнеры для творческого onion проекта изготовления лэндов.
      Пример дизайна студии: http://ruonion.net/
      http://onionwiki.xyz/
      http://godnota.online/
      https://hydra2web.bio/
      https://hydraonion.la/
      http://hydra2web.wine/
      http://hydra2web.gy/
      http://hydra2web.gg/
      http://tor-browser.biz/ Тематические разделы:
      Бизнес Молодсть
      Трансфрматор
      Аяз Шабутдинов
      Косенко
      Оплата попроектаная, от 50к за профессиональный дизайн.
      Пиши свою почту под темой и ссылку на портфолио, мы обязательно свяжемся с тобой!
×