А АMonday 16 July 2018

Инструменты для начального реагирования на вирусную атаку.

Всем привет.

Большинство вирусных атак проходит через этапы kill chain. При этом на каждом этапе вредоносное ПО оставляет на скомпрометированной машине следы, называемые индикаторами компрометации (IOCs). При расследовании инцидентов необходимо обнаружить такие индикаторы, определить этап атаки, которому они соответствуют, выявить уязвимости, использованные вредоносным ПО и предотвратить дальнейшее развитие атаки. Главная сложность при этом заключается в том, чтобы собрать достаточно уникальных индикаторов, которые позволят точно определить тип вредоносного ПО, используемого в каждой конкретной атаке.

В процессе обнаружения фактов (следов) сбор индикаторов компрометации является итерационным процессом, который необходимо повторить несколько раз, для того чтобы быть уверенным в полноте собранных индикаторов. Для сбора индикаторов компрометации можно воспользоваться описанными ниже инструментами.

SYSINTERNALS 
Sysinternals – это набор бесплатных программ (более 30-ти) для администрирования и мониторинга компьютеров под управлением операционных систем Windows. Пакет Sysinternals Suite включает в себя несколько десятков небольших утилит. Утилиты Sysinternals рекомендуется использовать для сбора первоначальных данных об инциденте. Скачать инструменты можно с сайта Microsoft® по ссылке https://technet.microsoft.com/en-us/sysinternals/default.aspx.

Наиболее важные утилиты, которые могут быть использованы при реагировании на инциденты, рассмотрены ниже.

PSTools – набор утилит командной строки для удаленного запуска приложений (PSExec), получения списка процессов на локальном или удаленном компьютере (PSList), принудительного завершения задач (Pskill), управления службами (PSService). Кроме того, в набор PsTools входят служебные программы для перезагрузки или выключения компьютеров, вывода содержимого журналов событий и многого другого.

Process Monitor – программа для наблюдения в реальном времени за действиями различных процессов в среде операционной системы Windows. Утилита включает в себя возможности мониторинга обращений к реестру, обращений к файловой системе и дополнительно позволяет получать более подробную информацию о взаимодействии процессов, использовании ресурсов, сетевой активности и операциях ввода-вывода.

Process Explorer – программа для наблюдения в реальном масштабе времени за действиями различных процессов и управления ими в среде операционной системы Windows.
Process Explorer позволяет:
• получать подробную информацию о всех процессах, выполняющихся в среде Windows;
• получать доступ к функциям управления процессами из главного меню или из контекстного меню выбранного процесса;
• использовать функции принудительного завершения (Kill), приостановки (Suspend) и продолжения выполнения (Resume) процессов;
• управлять не только процессами, но и потоками (Threads), а также динамически внедряемыми в основной процесс программными модулями (DLL);
• в любой момент времени принудительно выполнять дампы памяти (Minidump или Fill Dump) с сохранением в выбранный файл.

AutoRuns – утилита для 32 и 64-разрядных ОС Microsoft Windows, которая способна управлять автозагрузкой программ, сервисов, модулей, драйверов и других компонентов системы. Autoruns отображает все, что будет запущено на компьютере при старте ОС, регистрации пользователя и других событиях. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита может показать свойства любого объекта, пути и параметры запуска, а также отменять их автозапуск. Утилита поддерживает возможность проверки файлов автозапуска по хешу на сервисе VirusTotal, при этом неизвестные файлы можно отправить на анализ в антивирусные лаборатории.


AVZ
Антивирусная утилита AVZ является инструментом для исследования и восстановления системы.

Утилиту AVZ рекомендуется использовать при расследовании инцидентов в качестве средства получения информации о системе, так как в её состав входят следующие анализирующие систему модули:
• Диспетчер процессов
• Диспетчер служб и драйверов
• Модули пространства ядра
• Менеджер Winsock SPI (LSP, NSP, TSP)
• Открытые порты TCP/UDP
• Менеджер автозапуска
• Менеджер расширений IE
• Менеджер расширений проводника
• Менеджер апплетов панели управления (CPL)
• Менеджер расширений системы печати
• Менеджер планировщика заданий (Task Scheduler)
• Менеджер внедренных dll
• Менеджер протоколов и обработчиков
• Менеджер Active Setup
• Менеджер файла Hosts
• Общие ресурсы и сетевые сеансы
Скачать утилиту можно с сайта http://www.z-oleg.com/secur/avz/download.php.


Более того, настоятельно рекомендую ознакомиться с книгой автора этого мега-инструмента Олега Зайцева "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита". Кажется не случайно его инструмент созвучен с продуктами лаборатории Касперского, ведь Олег там работает.

GMER

Gmer – программный комплекс для обнаружения и удаления руткитов на ОС Microsoft Windows. Поддерживаются 32 и 64-разрядные ОС. Утилита позволяет просканировать компьютер на наличие скрытых процессов, потоков, модулей, файлов, секторов диска, ключей реестра, установленных перехватчиков режима ядра. Получить подробную информацию о Gmer и скачать утилиту можно по ссылке http://www.gmer.net/.

YARA

YARA – инструмент для помощи исследователям вредоносного ПО в идентификации и классификации вредоносных семплов. Утилита осуществляет сигнатурный анализ на основе формальных YARA-описаний, в которых содержатся индикаторы компрометации для разных типов вредоносного ПО. Каждое описание состоит из набора строк и некоторого логического выражения, по которому определяется логика срабатывания анализатора. Ниже приведен пример описания, на основе которого YARA определяет объекты, содержащие любой из перечисленных индикаторов (два hex-индикатора и один строковый) как угрозу. 

rule silent_banker : banker 
meta: 
description = "This is just an example" 
thread_level = 3 
in_the_wild = true 
strings: 
$a = {6A 40 68 00 30 00 00 6A 14 8D 91} 
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} 
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT" 
condition: 
$a or $b or $c 
}

Утилита позволяет анализировать как отдельные объекты, так и папки со всеми подпапками, и может использоваться для поиска вредоносного ПО, подпадающего под заданные YARA-описания. Скачать утилиту можно по ссылке http://virustotal.github.io/yara/.

Далее представлены программы, позволяющие создать дампы оперативной памяти и образы диска. Размер диска, на который производится запись образа, должен превышать размер диска (или объем памяти), с которого снимается образ, так как при снятии дампа сохраняется не только занятое пространство, а весь образ диска (памяти).

Google Rapid Response
GRR – фреймворк для реагирования на инциденты ИБ. В GRR реализована клиент-серверная архитектура, при которой агенты устанавливаются на машинах пользователей и служат для сбора информации, а сервер предназначен для хранения и анализа собранной информации.
Основные возможности:
  • удаленный анализ оперативной памяти и реестра Windows (с помощью Rekall);
  • удаленный анализ диска (с помощью The Sleuth Kit).

Скачать утилиту GRR и документацию к ней можно по ссылке https://github.com/google/grr.

FORENSIC TOOLKIT
Forensic Toolkit (FTK) – набор утилит для компьютерной криминалистики. В пакет FTK входит утилита FTK Imager. FTK Imager сохраняет образ жесткого диска и позволяет получить дамп памяти. FTK предусматривает сразу несколько вариантов просмотра образа диска. Например, можно выбрать в меню программы пункт «Электронные таблицы», и FTK выведет список всех найденных xls-файлов с подобных описанием и указанием местоположения. В программе присутствует база ключевых слов, по которым осуществляется поиск компрометирующей информации. Скачать утилиту можно по ссылке http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk?/solutions/digital-forensics/ftk.

DD
dd (dataset definition) – утилита UNIX™, предназначенная для копирования и конвертации файлов. Данная утилита позволяет копировать любые секторы жесткого диска, в том числе секторы, которые не используются ОС. Например, dd позволяет создать резервную копию загрузочного сектора жесткого диска. Для снятия образа диска с использованием dd можно использовать любой дистрибутив Linux. Существуют также версии dd, разработанные под ОС Windows.

BELKASOFT RAM CAPTURER
Belkasoft RAM Capturer предназначен для помощи в проведении анализа оперативной памяти компьютера. Программа предоставляет возможность снять дамп оперативной памяти компьютера под управлением 32- и 64-разрядных версий Windows, сохранив его в файл для последующего анализа. В поставку Belkasoft RAM Capturer входят 32- и 64-разрядные версии драйверов, работающих в режиме ядра и позволяющих корректно обрабатывать области данных, принадлежащие защищенным процессам. Продукт распространяется бесплатно.
Скачать программу можно по ссылке http://belkasoft.com/ram-capturer.

Так как сбор данных перекликается с другой частью инфобеза форензикой то хочу порекомендовать вам следующее - примеры как задействовать большинство названных инструментов на практике показано в бесплатном онлайн курсе Computer Forensics (CYBER502x) от EDX. 

При подготовке статьи был использованы публикации от AO Kaspersky Lab.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное