Krec

Сбор системы для анализа

В этой теме 53 сообщений

Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Можно как бесплатные , так и платные. Лишь бы исключить ложные детекты, т.е. был качественный анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sansero.ee

Honeypot - ну он не очень подходит, он же для ловушки.. а мне для анализа..

ну да ладно, может он больше возможности даст.. и какой софт под него лучше исползовать? я никогда не ставил Honeypot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

ProcMon. Можно отдельными утилитами - FileMon, RegMon, RegShot.

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

Wireshark, Give Me Too...

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

CFF Explorer, Hiew, LordPE...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Реализаций хонейпотев много, как правило они содержат в себе всё необходимое для анализа...

KFSensor за 600 баксов подойдет ?...

Хочешь анализировать сам, Русинович тебе в помощь....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ситуация такая, что мне надо попробовать в одном моделе это все реализовать ну или на двух: первыая - для сетевого анализа, а второй - для исследования malware(поведентческий анализ). сигнатурного не буду, т.к. дизассемблирование почти не знаю.

Вот давно я еще работаю с утилитами Руссиновича, но мне кажался, что они как бы для "home" использования. А вот для серьезных работ, чтоб в презентациях или в научных докладах можно было ссылатся - не знаю насколько серьезно это будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Ок. тогда возьму на вооружение Systernal в качестве

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

Следующий этап - анализ/контроль трафика.

Что лучше использовать для перехвата/анализа трафика? Я как то смотрел Wireshark, но он не умеет вроде делать ARP спуфинг. А вот cain умеет делать спуфинг и пароли из сети снять, но за то не умеет протоколировать все сетевые соединения... есть ли что то два в одном(2in1) решеине?

Или использовать два вместе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Следующий этап - анализ/контроль трафика.

CommView®.Один из лучших снифферов, ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Как насчёт Online Sandbox's?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CommView®.Один из лучших снифферов, ИМХО.

да, тоже имеет мето.. только можете сказать чем он лучше от WireShark_а? Если будет отличия серьезные - возьму CommView.

Как насчёт Online Sandbox's?

А они сигнатурно анализируют? Или проводят дизассемблирование и все по полочкам ложат: кто/куда/зачем/что ?

Как бы смысла нету использовать его, что они на подожие virustotal.

Еще бы хотел что то типа снятие и восстановление снапшотов, как в VMWare. Допустим делаю снапшот в начале анализа, а после - возврашаю все в осходное положение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

к сожалению очень убогий сервис :(

ради теста погрузил файл qip.exe (типа аська), но показать только 2 параметра: создает 1 ключ в реесре и в просессе svhost запускает что то свое (или кактам... )

Нет никаких описаний каких библиотех обрашается, какие файлы временные создает или наконец куда подключится будет.

тоже самое привел анализ загрузчик mail agent:

2 ключа в реестр, создание несколько файлов в папке C:\Documents and Settings\User\Application Data\MRA, один процесс wmiprvse.exe, несколько создание поток, загрузка 4_х модулей и какие то непонятные C:\TEST\sample.exe (у еня нет такой папки и файла)

Ну и что ожидал видеть - это куда он соединяется.. но тоже нет никакой инфомрации..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
к сожалению очень убогий сервис

Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

ну в общем, это оставим пока...

надо с другими пунктами разобратся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sanboxie можно настроить для анализа на локальной тачке.

Нужно:

1. Buster Sandbox Analyzer, SBIExtra, Antidel.

2. Прямые руки

3. Немного мозгов и логики для анализа файла конфигурации сандбокса.

Пожалуй все.

Настройки самого сандбокса надо ставить так:

1. В восстановлении НИЧЕГО не должно быть указано.

2. В разделе "удаление" тоже не должно быть всяких галок или добавленных папок или программ.

3. В разделе "ограничения" необходимо запретить доступ в интернет, низкоуровневый доступ к диску, но в разделах "запуск" и "забрать права" негде не должно стоять галок и путей.

ТЕПЕРЬ САМОЕ ВАЖНОЕ.

Buster Sandbox Analyzer имеет в составе несколько dll с общем именем LOG_API*, ту у которой имя LOG_API_VERBOSE.dll надо сменить на, например на LAPD.dll.

После того как скачали Buster Sandbox Analyzer, SBIExtra, Antidel создаем в папке с сандбоксом, папку Plugins. В эту папку закидываем Buster Sandbox Analyzer, SBIExtra, Antidel.

Файл настройки песочницы я сейчас закину. Расширение файла заменить на .ini.

Содержимое папки Plugins

Что нужно знать по файлу настройки:

В разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, у меня это выглядит так: FileRootPath=C:\Sandbox\User\BSA

Потом идет раздел [userSettings_xxxxx], там ничего интересного, пропускаем.

Самое интересное начинается в следующем разделе(название совпадает с именем песочницы, у меня это BSA)

Порядок внедрения dll НЕ ИЗМЕНЯТЬ. Но я все таки покажу как должен выглядеть раздел BSA, разве что только пути могут быть разными.

InjectDll=C:\Program Files\Sandboxie\Plugins\sbixtra.dllInjectDll=C:\Program Files\Sandboxie\Plugins\antidel.dllInjectDll=C:\Program Files\Sandboxie\Plugins\LAPD.DLLOpenWinClass=TFormBSAEnabled=yConfigLevel=7BoxNameTitle=nBorderColor=#0000FFNotifyInternetAccessDenied=nTemplate=BlockPortsTemplate=AutoRecoverIgnoreTemplate=Firefox_Phishing_DirectAccessTemplate=LingerProgramsClosedFilePath=InternetAccessDevices

Потом запускаем bsa.exe, в Options - Analysis mode ставим Manual. Далее в Options - Program Options - Windows Shell Integration - Add right-clik action "Run BSA".

Как бы все.

Если есть вопросы, задаем, не стесняемся :).

Sandboxie.txt

Sandboxie.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

CatalystX

так, так )) вопрос полюбому есть и думаю не один..

Sanboxie можно настроить для анализа на локальной тачке.

тут имеется ввиду саму технологию или это отдельное ПО ?

потом хотел бы узнать:

там есть возможность отката, что то типа снапшотов?

Это ПО/технология какие мо задачи порешит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тут имеется ввиду саму технологию или это отдельное ПО ?

Sanboxie это программа.

там есть возможность отката, что то типа снапшотов?

Чистка песочницы.

Это ПО/технология какие мо задачи порешит?

Sanboxie может отслеживать API - вызовы запущенного там приложения, отслеживать изменения в реестре, перехватывать сетевой трафик выполнении и еще несколько плюшек(типа анализа на VT).

Sanboxie не может отслеживать руткиты режима ядра(TDL, Sinowal/Mebroot, SST итд) поскольку они требуют установки своего драйвера, но тем не менее может выявить установку драйвера.

Одно замечание, Sanboxie без плагинов для анализа(их список я привел в посте №17) обеспечивает только изоляцию подозрительного процесса от винды. И насчет файла конфигурации, в разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, но так может быть, что после установки сандбокса в конфиге может не оказаться этого параметра, не паникуем и прописываем путь вручную.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Полностью закроет вопрос по сетевому анализу признанный опенсорсный монстр -- Wireshark. Лично я нахожу CommView неудобным.

Только, имхо, вам не хватит опыта для адекватного анализа (я не про анализ пакетов, а вообще).

Попробуйте для начала поставить себе простую задачу, а не глобальное "хочу знать об exe'шнике всё". Например, выловить какой-нибудь троянец или кейлоггер, сконфигурированный каким-то скрипт-кидди. Выяснить, каким образом он пересылает данные злоумышленнику (по FTP, SMTP, еще как). Вытянуть данные аутентификации. Зайти и уничтожить все данные и логи, которые найдете.

При решении этой задачи у вас возникнет множество подзадач и желание выяснить "а как?", и в итоге вы приобретете ценный опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

shaana

да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Преследуется по Закону, так что, а-та-та...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sansero.ee

:D что поделать? наука требует жертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

Как раз наоборот. Wireshark знает практически любой протокол, имеет гибчайшие настройки для фильтров, удобнейший follow stream и бла-бла-бла.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Я не буду расписываться за всё семейство Zeus, ибо его модификаци

Вообще позанимайтесь для саморазвития ethical hacking'ом, и вас более-менее станет ясно, что в жизни возможно, а что -- нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy
      demkd возможно ли создавать архив 7z из командной строки с шифрованием заголовков файлов?
    • demkd
      можно в принципе сделать настройку, добавлю
    • beryl18
      Создание сайтов сложный процесс, но на видео уроках от веб-дизайнера из Коломны все показано в деталях для быстрого обучения. В обычной жизни создать современный сайт, это загрузка для многих: Как со многими продуктами, задача разработки дизайна для хорошего веб-сайта, делается командой людей в Коломне и у каждого есть определенная область экспертных знаний. Как предприниматель и владелец бизнеса, хотите сосредоточить свое время на управлении командой и проверке конечный продукт имеет успех увеличить прибыль и ведет. В команде, начиная проект веб-сайта: Менеджер по маркетингу и менеджер по работе с клиентами Это - "большая картина" мыслитель и советник. Человек должен знать все дополнительные свойства, могли имеет искренне отговорить. Человек должен помогут запланировать веб-сайт, удовлетворить потребности в течение длительного срока. Менеджер проектов Менеджер проектов взаимодействовать с остальной частью команды (и возможно Вы) на ежедневной основе движущая сила, выдвигая всех через шаг процесса к завершению. Человек ответственен в течение крайних сроков проверки, встречены, и проект остается на бюджете. Информационный архитектор Роль информационного Архитектора должна удостовериться веб-сайт имеет смысл. Есть правильные страницы? Они находятся в правильных разделах? Действительно терминология последовательна? Действительно навигационные методы последовательны? Иногда "удобство использования" попадает в роль – удостоверяющийся каждую страницу и место в целом легко провести и использовать. Графический дизайнер Графический дизайнер решает то, на на самом деле похож веб-сайт. Какие цвета и шрифты использовать? Куда элементы помещены на странице? Удостоверьтесь работаете с проектировщиком, у которого есть большой опыт веб-дизайна. Проектирование сети - определенное умение и не является тем же проектирующий печати. Копирайтер Если нуждаетесь в тексте и пишете с нуля, копирайтер - друг! Копирайтеры в состоянии написать в стиле и настроить и понять SEO, текст оптимизирован с начала. Кодер HTML/JavaScript/CSS Это - жизненно важная роль большинства веб-сайтов. HTML - фундаментальный язык сети, и всех веб-сайтов есть некоторая сумма включенного HTML-кода. Если не нужен программист и по крайней мере, кодер HTML. Человек берет плоский файл дизайна и преобразовывает в текст, изображения и интерактивный HTML-код, он мог работать, поскольку ожидаем веб-сайты работать. Программист Это часто неправильно использовало термин, действительно относится к профессионалам используют истинные "языки программирования". HTML, JavaScript и CSS не языки программирования и таким образом профессионалы сосредотачиваются на тех языках, не технически программисты. Нужен программист, у будет, вид автоматизации на сайте и формах посетителей, подчиниться. Программисты работают на языках, PHP, ASP, Ява, JSP и mySQL. Они обычно делать работу кодера HTML программист обычно дорогой обычно не экономически выгодно. Обеспечение качества/Тестер Это - человек нажмет на каждую ссылку сайта, удостовериться все работают и представляют формы различными способами гарантировать все работает и показывает пользователю соответствующие сообщения ошибках идет не, надо. Для меньших проектов кодер HTML и/или Менеджер проектов обычно делать тестирование. Теперь знаете роль человек игры, готовы выйти и нанять правильную команду проекта! Обратите внимание меньших проектов часто найти Проектировщика и Программиста является "руководителем проекта" и носить шляп. Работать блестяще, особенно сайт - простой с 5 пейджерами бояться заходить слишком далеко – в конце дня хотите место, которое работает работает. Проще пользоваться уроками для создания сайтов от веб-дизайнера из Коломны - http://sozdat-sait.my1.ru/blog/
    • akoK
      Почтовики в последнее время начали успешно блокировать карантины UVS находя в них потенциально вредоносное содержимое. Можно что-то сделать (например сменить пароль)?    552-5.7.0 This message was blocked because its content presents a potential
          552-5.7.0 security issue. Please visit 552-5.7.0
    • Viktorr
      Спасибо за обзор, очень подробная и полезная информация. А ещё подскажите пожалуйста, если мы планируем использовать виртуальный сервер, на котором будут храниться в том числе персональные данные клиентов, какой хостинг для этого лучше выбрать, vps или vds? Данный вопрос в первую очередь волнует, именно в плане более надежной защиты данных, этот момент самый приоритетный. Заранее благодарю за ответ.