Krec

Сбор системы для анализа

В этой теме 53 сообщений

Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Можно как бесплатные , так и платные. Лишь бы исключить ложные детекты, т.е. был качественный анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sansero.ee

Honeypot - ну он не очень подходит, он же для ловушки.. а мне для анализа..

ну да ладно, может он больше возможности даст.. и какой софт под него лучше исползовать? я никогда не ставил Honeypot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Привет всем.

В целях изучения malware/сетевые подключение думаю собрать стендовый комп, но не знаю какое ПО выбрать, чтоб справится с:

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

ProcMon. Можно отдельными утилитами - FileMon, RegMon, RegShot.

- мониторниг и перехват сетевых подключенией. (трой когда хочет подключится к командному центру)

- изучение трафика в целях выявить утечку данных.

Wireshark, Give Me Too...

- ПО или сервис по изучению поведения неизвестного файла(exe, com)

CFF Explorer, Hiew, LordPE...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Реализаций хонейпотев много, как правило они содержат в себе всё необходимое для анализа...

KFSensor за 600 баксов подойдет ?...

Хочешь анализировать сам, Русинович тебе в помощь....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ситуация такая, что мне надо попробовать в одном моделе это все реализовать ну или на двух: первыая - для сетевого анализа, а второй - для исследования malware(поведентческий анализ). сигнатурного не буду, т.к. дизассемблирование почти не знаю.

Вот давно я еще работаю с утилитами Руссиновича, но мне кажался, что они как бы для "home" использования. А вот для серьезных работ, чтоб в презентациях или в научных докладах можно было ссылатся - не знаю насколько серьезно это будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если Systernal tools таки дают требуемую информацию, то чтож не использовать то? Проблем с авторитетом самого Руссиновича и его инструментария быть не должно.

Ок. тогда возьму на вооружение Systernal в качестве

- мониторинг изменений системных файлов/реестра (malware что меняет в системе)

Следующий этап - анализ/контроль трафика.

Что лучше использовать для перехвата/анализа трафика? Я как то смотрел Wireshark, но он не умеет вроде делать ARP спуфинг. А вот cain умеет делать спуфинг и пароли из сети снять, но за то не умеет протоколировать все сетевые соединения... есть ли что то два в одном(2in1) решеине?

Или использовать два вместе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Следующий этап - анализ/контроль трафика.

CommView®.Один из лучших снифферов, ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
- ПО или сервис по изучению поведения неизвестного файла(exe, com)

Как насчёт Online Sandbox's?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CommView®.Один из лучших снифферов, ИМХО.

да, тоже имеет мето.. только можете сказать чем он лучше от WireShark_а? Если будет отличия серьезные - возьму CommView.

Как насчёт Online Sandbox's?

А они сигнатурно анализируют? Или проводят дизассемблирование и все по полочкам ложат: кто/куда/зачем/что ?

Как бы смысла нету использовать его, что они на подожие virustotal.

Еще бы хотел что то типа снятие и восстановление снапшотов, как в VMWare. Допустим делаю снапшот в начале анализа, а после - возврашаю все в осходное положение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
http://camas.comodo.com/

Одна из многочисленных песочниц.

Покажет вам, какие процессы создаются, какие файлы, куда программа рвется в интернет и тэ пэ.

Попробуйте закиньте любой файл и смотрите результат.

к сожалению очень убогий сервис :(

ради теста погрузил файл qip.exe (типа аська), но показать только 2 параметра: создает 1 ключ в реесре и в просессе svhost запускает что то свое (или кактам... )

Нет никаких описаний каких библиотех обрашается, какие файлы временные создает или наконец куда подключится будет.

тоже самое привел анализ загрузчик mail agent:

2 ключа в реестр, создание несколько файлов в папке C:\Documents and Settings\User\Application Data\MRA, один процесс wmiprvse.exe, несколько создание поток, загрузка 4_х модулей и какие то непонятные C:\TEST\sample.exe (у еня нет такой папки и файла)

Ну и что ожидал видеть - это куда он соединяется.. но тоже нет никакой инфомрации..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
к сожалению очень убогий сервис

Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нормальный сервис,тоже ради интереса загрузил exe,выдал достаточно подробный отчет

http://camas.comodo.com/cgi-bin/submit?fil...0f3e3229a5ba1e9

ну в общем, это оставим пока...

надо с другими пунктами разобратся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sanboxie можно настроить для анализа на локальной тачке.

Нужно:

1. Buster Sandbox Analyzer, SBIExtra, Antidel.

2. Прямые руки

3. Немного мозгов и логики для анализа файла конфигурации сандбокса.

Пожалуй все.

Настройки самого сандбокса надо ставить так:

1. В восстановлении НИЧЕГО не должно быть указано.

2. В разделе "удаление" тоже не должно быть всяких галок или добавленных папок или программ.

3. В разделе "ограничения" необходимо запретить доступ в интернет, низкоуровневый доступ к диску, но в разделах "запуск" и "забрать права" негде не должно стоять галок и путей.

ТЕПЕРЬ САМОЕ ВАЖНОЕ.

Buster Sandbox Analyzer имеет в составе несколько dll с общем именем LOG_API*, ту у которой имя LOG_API_VERBOSE.dll надо сменить на, например на LAPD.dll.

После того как скачали Buster Sandbox Analyzer, SBIExtra, Antidel создаем в папке с сандбоксом, папку Plugins. В эту папку закидываем Buster Sandbox Analyzer, SBIExtra, Antidel.

Файл настройки песочницы я сейчас закину. Расширение файла заменить на .ini.

Содержимое папки Plugins

Что нужно знать по файлу настройки:

В разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, у меня это выглядит так: FileRootPath=C:\Sandbox\User\BSA

Потом идет раздел [userSettings_xxxxx], там ничего интересного, пропускаем.

Самое интересное начинается в следующем разделе(название совпадает с именем песочницы, у меня это BSA)

Порядок внедрения dll НЕ ИЗМЕНЯТЬ. Но я все таки покажу как должен выглядеть раздел BSA, разве что только пути могут быть разными.

InjectDll=C:\Program Files\Sandboxie\Plugins\sbixtra.dllInjectDll=C:\Program Files\Sandboxie\Plugins\antidel.dllInjectDll=C:\Program Files\Sandboxie\Plugins\LAPD.DLLOpenWinClass=TFormBSAEnabled=yConfigLevel=7BoxNameTitle=nBorderColor=#0000FFNotifyInternetAccessDenied=nTemplate=BlockPortsTemplate=AutoRecoverIgnoreTemplate=Firefox_Phishing_DirectAccessTemplate=LingerProgramsClosedFilePath=InternetAccessDevices

Потом запускаем bsa.exe, в Options - Analysis mode ставим Manual. Далее в Options - Program Options - Windows Shell Integration - Add right-clik action "Run BSA".

Как бы все.

Если есть вопросы, задаем, не стесняемся :).

Sandboxie.txt

Sandboxie.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

CatalystX

так, так )) вопрос полюбому есть и думаю не один..

Sanboxie можно настроить для анализа на локальной тачке.

тут имеется ввиду саму технологию или это отдельное ПО ?

потом хотел бы узнать:

там есть возможность отката, что то типа снапшотов?

Это ПО/технология какие мо задачи порешит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тут имеется ввиду саму технологию или это отдельное ПО ?

Sanboxie это программа.

там есть возможность отката, что то типа снапшотов?

Чистка песочницы.

Это ПО/технология какие мо задачи порешит?

Sanboxie может отслеживать API - вызовы запущенного там приложения, отслеживать изменения в реестре, перехватывать сетевой трафик выполнении и еще несколько плюшек(типа анализа на VT).

Sanboxie не может отслеживать руткиты режима ядра(TDL, Sinowal/Mebroot, SST итд) поскольку они требуют установки своего драйвера, но тем не менее может выявить установку драйвера.

Одно замечание, Sanboxie без плагинов для анализа(их список я привел в посте №17) обеспечивает только изоляцию подозрительного процесса от винды. И насчет файла конфигурации, в разделе [GlobalSettings], в параметре FileRootPath указан путь к папке изолированной среды, но так может быть, что после установки сандбокса в конфиге может не оказаться этого параметра, не паникуем и прописываем путь вручную.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насчет аналза сетевого трафика думаю использовать CommView с связкой с NetResident (http://www.tamos.ru/products/netresident/)

Они закроют полностю вопрос по сетевому анализу?

Полностью закроет вопрос по сетевому анализу признанный опенсорсный монстр -- Wireshark. Лично я нахожу CommView неудобным.

Только, имхо, вам не хватит опыта для адекватного анализа (я не про анализ пакетов, а вообще).

Попробуйте для начала поставить себе простую задачу, а не глобальное "хочу знать об exe'шнике всё". Например, выловить какой-нибудь троянец или кейлоггер, сконфигурированный каким-то скрипт-кидди. Выяснить, каким образом он пересылает данные злоумышленнику (по FTP, SMTP, еще как). Вытянуть данные аутентификации. Зайти и уничтожить все данные и логи, которые найдете.

При решении этой задачи у вас возникнет множество подзадач и желание выяснить "а как?", и в итоге вы приобретете ценный опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

shaana

да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Преследуется по Закону, так что, а-та-та...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Sansero.ee

:D что поделать? наука требует жертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да, согласен )) По мне - wireshark сложновато, чем CommView.

Хотя может быть WS намного мошнее , хоть и бесплатно ПО.

Как раз наоборот. Wireshark знает практически любой протокол, имеет гибчайшие настройки для фильтров, удобнейший follow stream и бла-бла-бла.

А ведь возможно узнать данные авторизации , скажем для бота Spyeye или zeus ? IP адрес "админки" еще думаю возможно ловить, а вот авторизационные данные - не уверен.

Я не буду расписываться за всё семейство Zeus, ибо его модификаци

Вообще позанимайтесь для саморазвития ethical hacking'ом, и вас более-менее станет ясно, что в жизни возможно, а что -- нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.