Главная

Saturday, 2 January 2021

Алгоритм начального расследования.

Всем привет.

Как-то я рассказывал про набор инструментов для начального реагирования на вирусную атаку. Чтобы напомнить себе еще раз пишу сегодня свежий алгоритм от того же автора.

Итак, прежде всего нам надо иметь изолированный от рабочей сети полигон для исследования. Можно подготовить физический ПК (рекомендуется свежая(без патчей) или клонировання среда Win7) или в видеVM в Virtualbox. Зловреды не любят VM, тогда вам надо будет убрать возможные признаки  виртуальности.  Paranoid-fish покажет по каким признакам можно отследить что вы использутете VM. Также стоит обратить внимание на установленные Guest tools и неправильное системное время.

Интернет подаем на полигон через WiFi-точку доступа или через NAT в случае с Virtualbox.

1. Ок, нам передали зловред testik.doc полученный в письме по почте. Забрасываем наш зловред в VM в архиве с паролем. Не помешает также скрыть имена файлов в архиве. Или проделываем туже операцию через онлайновый файлообменник.

2. Прежде всего следует определить реальный формат файла:

>file testik.doc

В этом плане полезный набор OLEtools:

>olevba testik.doc

>mraptor testik.doc

>rtfobj testik.doc

Перед "активацией" зловреда я бы не исключал вероятность того что вааш полигон заблокирует провайдер, если он начнет активно рассылать код в сеть.

Готовы? Тогда даем зловреду развернуться, открываем testik.doc в непропатченном MS Word 2007.

В Wireshark отслеживаем и захватываем сетевое взаимодействие зловреда в системе на каждом этапе исследования.

С помощью TCPhound и TCPView отслеживаем сетевые соединения которые порождает зловред в системе на каждом этапе исследования.

В ProcessMonitor (Process tree) отслеживаем процессы которые порождает зловред в системе на каждом этапе исследования.

В Autoruns остлеживаем закрепление зловреда в системе.

Ожидаем ситуацию установки стабильных сетевых соединений которые породил зловред (ESTABLISHED).

Закрываем MS Word 2007. Он нам больше не нужен.

В ProcessMonitor УБИВАЕМ процессы которые породил зловред в системе исследования.

Исследуем в Wireshark порожденные сетевые взаимодействия зловреда в тестовой системе. Определяем IOC, и находим полученную нагрузку (payload).

3. Паралелльно п.2. забрасываем testik.doc в онлайновые сервисы проверки типа virustotal.com: 

- еще раз проверяем filetype 

- закладка Сommunity покажут информацию может кто встречал с ним ранее

- закладка Relations может показать прямой путь к нагрузке(payload), возможно будет его загрузить по wget не вылавливая его на своем полигоне.

4. Анализируем полученный payload на ресурсах anayze.intezer.com, pastebin.com, quiksand.io, 

irish.malwageddon.com, cucko.cert.ee и прочих.

Как-то так. Что успел записать по следах семинара.


No comments:

Post a Comment

А что вы думаете по этому поводу?