Перейти к содержанию

Recommended Posts

Krec

Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Можно как бесплатные , так и платные. Лишь бы исключить ложные детекты, т.е. был качественный анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Sansero.ee

Honeypot - ну он не очень подходит, он же для ловушки.. а мне для анализа..

ну да ладно, может он больше возможности даст.. и какой софт под него лучше исползовать? я никогда не ставил Honeypot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

ProcMon. Можно отдельными утилитами - FileMon, RegMon, RegShot.

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

Wireshark, Give Me Too...

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

CFF Explorer, Hiew, LordPE...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Реализаций хонейпотев много, как правило они содержат в себе всё необходимое для анализа...

KFSensor за 600 баксов подойдет ?...

Хочешь анализировать сам, Русинович тебе в помощь....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

ситуация такая, что мне надо попробовать в одном моделе это все реализовать ну или на двух: первыая - для сетевого анализа, а второй - для исследования malware(поведентческий анализ). сигнатурного не буду, т.к. дизассемблирование почти не знаю.

Вот давно я еще работаю с утилитами Руссиновича, но мне кажался, что они как бы для "home" использования. А вот для серьезных работ, чтоб в презентациях или в научных докладах можно было ссылатся - не знаю насколько серьезно это будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Ок. тогда возьму на вооружение Systernal в качестве

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

Следующий этап - анализ/контроль трафика.

Что лучше использовать для перехвата/анализа трафика? Я как то смотрел Wireshark, но он не умеет вроде делать ARP спуфинг. А вот cain умеет делать спуфинг и пароли из сети снять, но за то не умеет протоколировать все сетевые соединения... есть ли что то два в одном(2in1) решеине?

Или использовать два вместе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
Следующий этап - анализ/контроль трафика.

CommView®.Один из лучших снифферов, ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Как насчёт Online Sandbox's?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
CommView®.Один из лучших снифферов, ИМХО.

да, тоже имеет мето.. только можете сказать чем он лучше от WireShark_а? Если будет отличия серьезные - возьму CommView.

Как насчёт Online Sandbox's?

А они сигнатурно анализируют? Или проводят дизассемблирование и все по полочкам ложат: кто/куда/зачем/что ?

Как бы смысла нету использовать его, что они на подожие virustotal.

Еще бы хотел что то типа снятие и восстановление снапшотов, как в VMWare. Допустим делаю снапшот в начале анализа, а после - возврашаю все в осходное положение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana

http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

к сожалению очень убогий сервис :(

ради теста погрузил файл qip.exe (типа аська), но показать только 2 параметра: создает 1 ключ в реесре и в просессе svhost запускает что то свое (или кактам... )

Нет никаких описаний каких библиотех обрашается, какие файлы временные создает или наконец куда подключится будет.

тоже самое привел анализ загрузчик mail agent:

2 ключа в реестр, создание несколько файлов в папке C:\Documents and Settings\User\Application Data\MRA, один процесс wmiprvse.exe, несколько создание поток, загрузка 4_х модулей и какие то непонятные C:\TEST\sample.exe (у еня нет такой папки и файла)

Ну и что ожидал видеть - это куда он соединяется.. но тоже нет никакой инфомрации..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
к сожалению очень убогий сервис

Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

ну в общем, это оставим пока...

надо с другими пунктами разобратся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Sanboxie можно настроить для анализа на локальной тачке.

Нужно:

1. Buster Sandbox Analyzer, SBIExtra, Antidel.

2. Прямые руки

3. Немного мозгов и логики для анализа файла конфигурации сандбокса.

Пожалуй все.

Настройки самого сандбокса надо ставить так:

1. В восстановлении НИЧЕГО не должно быть указано.

2. В разделе "удаление" тоже не должно быть всяких галок или добавленных папок или программ.

3. В разделе "ограничения" необходимо запретить доступ в интернет, низкоуровневый доступ к диску, но в разделах "запуск" и "забрать права" негде не должно стоять галок и путей.

ТЕПЕРЬ САМОЕ ВАЖНОЕ.

Buster Sandbox Analyzer имеет в составе несколько dll с общем именем LOG_API*, ту у которой имя LOG_API_VERBOSE.dll надо сменить на, например на LAPD.dll.

После того как скачали Buster Sandbox Analyzer, SBIExtra, Antidel создаем в папке с сандбоксом, папку Plugins. В эту папку закидываем Buster Sandbox Analyzer, SBIExtra, Antidel.

Файл настройки песочницы я сейчас закину. Расширение файла заменить на .ini.

Содержимое папки Plugins

Что нужно знать по файлу настройки:

В разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, у меня это выглядит так: FileRootPath=C:\Sandbox\User\BSA

Потом идет раздел [userSettings_xxxxx], там ничего интересного, пропускаем.

Самое интересное начинается в следующем разделе(название совпадает с именем песочницы, у меня это BSA)

Порядок внедрения dll НЕ ИЗМЕНЯТЬ. Но я все таки покажу как должен выглядеть раздел BSA, разве что только пути могут быть разными.

InjectDll=C:\Program Files\Sandboxie\Plugins\sbixtra.dllInjectDll=C:\Program Files\Sandboxie\Plugins\antidel.dllInjectDll=C:\Program Files\Sandboxie\Plugins\LAPD.DLLOpenWinClass=TFormBSAEnabled=yConfigLevel=7BoxNameTitle=nBorderColor=#0000FFNotifyInternetAccessDenied=nTemplate=BlockPortsTemplate=AutoRecoverIgnoreTemplate=Firefox_Phishing_DirectAccessTemplate=LingerProgramsClosedFilePath=InternetAccessDevices

Потом запускаем bsa.exe, в Options - Analysis mode ставим Manual. Далее в Options - Program Options - Windows Shell Integration - Add right-clik action "Run BSA".

Как бы все.

Если есть вопросы, задаем, не стесняемся :).

Sandboxie.txt

Sandboxie.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

так, так )) вопрос полюбому есть и думаю не один..

Sanboxie можно настроить для анализа на локальной тачке.

тут имеется ввиду саму технологию или это отдельное ПО ?

потом хотел бы узнать:

там есть возможность отката, что то типа снапшотов?

Это ПО/технология какие мо задачи порешит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
тут имеется ввиду саму технологию или это отдельное ПО ?

Sanboxie это программа.

там есть возможность отката, что то типа снапшотов?

Чистка песочницы.

Это ПО/технология какие мо задачи порешит?

Sanboxie может отслеживать API - вызовы запущенного там приложения, отслеживать изменения в реестре, перехватывать сетевой трафик выполнении и еще несколько плюшек(типа анализа на VT).

Sanboxie не может отслеживать руткиты режима ядра(TDL, Sinowal/Mebroot, SST итд) поскольку они требуют установки своего драйвера, но тем не менее может выявить установку драйвера.

Одно замечание, Sanboxie без плагинов для анализа(их список я привел в посте №17) обеспечивает только изоляцию подозрительного процесса от винды. И насчет файла конфигурации, в разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, но так может быть, что после установки сандбокса в конфиге может не оказаться этого параметра, не паникуем и прописываем путь вручную.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana
Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Полностью закроет вопрос по сетевому анализу признанный опенсорсный монстр -- Wireshark. Лично я нахожу CommView неудобным.

Только, имхо, вам не хватит опыта для адекватного анализа (я не про анализ пакетов, а вообще).

Попробуйте для начала поставить себе простую задачу, а не глобальное "хочу знать об exe'шнике всё". Например, выловить какой-нибудь троянец или кейлоггер, сконфигурированный каким-то скрипт-кидди. Выяснить, каким образом он пересылает данные злоумышленнику (по FTP, SMTP, еще как). Вытянуть данные аутентификации. Зайти и уничтожить все данные и логи, которые найдете.

При решении этой задачи у вас возникнет множество подзадач и желание выяснить "а как?", и в итоге вы приобретете ценный опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

shaana

да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Преследуется по Закону, так что, а-та-та...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Sansero.ee

:D что поделать? наука требует жертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana
да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

Как раз наоборот. Wireshark знает практически любой протокол, имеет гибчайшие настройки для фильтров, удобнейший follow stream и бла-бла-бла.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Я не буду расписываться за всё семейство Zeus, ибо его модификаци

Вообще позанимайтесь для саморазвития ethical hacking'ом, и вас более-менее станет ясно, что в жизни возможно, а что -- нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alexD
    • alexD
      Ну тогда ставьте алюминиевые. Сугубо личное мнение. 
    • kamri
      У меня частный дом, система автономная. Изначально хотел стальные, так как они дешевле.Но сейчас больше склоняюсь к алюминиевым, вроде объективно эффективней + дизайн. 
       
    • alexD
      Все будет зависеть от того, что за система отопления у вас и какой теплоноситель там. Если центральная, то ставьте биметаллические, если автономная, то алюминий.
       
    • PR55.RP55
      1) Не устанавливайте алюминиевые >  высокая коррозия - быстро могут выйти из строя, есть риск прикипания резьбовых соединений и срыва резьбы при монтаже\демонтаже, быстро остывают. Алюминий химически активный металл = реакция с кислородом и т.д. 2) Есть хорошие отзывы по биметаллическим радиаторам: большой срок службы, небольшой вес, устойчивость к коррозии на уровне чугунных батарей ( по заявлениям производителей ) 3) Чугунные: если стены\крепления позволяют нести большой вес ( 30-40 кг батарея) и речь идёт о частном доме - рекомендую их. Так, как в случае отключения электро энергии они долго остывают продолжая отдавать тепло ( по моим прикидкам  + - 1 градус в минуту  т.е. батареи будет греть ещё около часа ) при начальной температуре в помещении порядка +20 ) Если дом загородный и вы там бываете наездами и в ваше отсутствие котёл работает на минимальной мощности - то потребуется время на нагрев чугунных батарей и только после того, как металл наберёт температуру - начнётся нагрев воздуха в помещении т.е. это ещё и вопрос комфорта. Из минусов - ржавчина и чугунные батареи не подойдут если у вас котёл настенного типа с теплообменником. Ржавчина + жёсткая вода ( накипь ) = выход элемента котла из строя. = замена дорогой детали и проблема с её поиском\заменой. ---------- При монтаже системы не стоит экономить - устанавливайте трубы большого диаметра. Если помещение небольшое можно добиться естественной циркуляции теплоносителя - без установки дополнительного электро двигателя. ( и без системы бесперебойного электро снабжения ) Соответственно не брать котёл с патрубками малого диаметра. Ориентироваться на диаметр порядка: 50.  Желательно не брать котёл с теплообменником если у вас жёсткая вода и образуется много накипи = быстрое засорение. Рекомендую устанавливать котёл в отдельном помещении - во избежание запаха газа, шума работающего двигателя, шумов от стабилизатора напряжения, сигналов от бесперебойный ( при работе от батареи ) Надёжнее всего напольный котёл. ( как правило у него нет платы контролера - значит она не выйдет из строя, не нужен стабилизатор напряжения, меньшая цена котла ,  меньшая цена обслуживания, простота обслуживания )    
×