.jpg)
Meneliti sifat statis dari file yang mencurigakan adalah titik awal yang baik untuk analisis malware. Upaya ini memungkinkan Anda untuk melakukan penilaian awal dari file bahkan tanpa menginfeksi sistem lab atau belajar kode. Mari kita lihat beberapa jendela alat bantu gratis yang berguna untuk mengekstrak meta data tersebut dari executable berpotensi berbahaya.
Mari kita lihat beberapa analisis utilitas statis yang berjalan pada Windows.
Pe Studio
PE Studio by Marc Ochsenmeier adalah alat GUI untuk statis memeriksa
berbagai aspek dari file Windows executable yang mencurigakan, seperti nama
fungsi impor dan ekspor dan strings.You banyak rincian ini melalui cara lain,
namun sangat nyaman untuk menangkap informasi ini pada satu tembakan.
Misalnya, PE Studio tidak hanya menunjukkan nama dan sifat-sifat lain dari bagian PE file, itu juga secara otomatis menghitung setiap bagian itu MD5 hash. Nilai hash dapat digunakan sebagai indikator kompromi(IOC), tetapi penulis malware dapat dengan mudah men-tweak spesimen untuk mengubah hash file. Untuk alasan ini, ini berguna untuk dicatat nilai hash dari bagian yang terdiri dari program jahat. Dengan cara ini, jika penyerang mengubah sebagian dari file tersebut, nilai-nilai hash dari satu atau lebih bagian mungkin masih cocok sebagai IOC.
Mungkin yang paling berguna, PE Studio secara otomatis bendera aspek dari file yang bisa menunjukkan bahwa adalah berbahaya, seperti yang Anda lihat di bawah ini. Indikator-indikator ini termasuk "daftar hitam" string dan panggilan API, seperti yang ditunjukkan di bawah ini. PE Studio juga dapat permintaan VirusTotal untuk informasi yang mungkin berisi yang cocok dengan hash dari file yang Anda memeriksa, jika sistem lab Anda terhubung ke Internet.
PE Studio juga menunjukkan
"meta" informasi yang dapat tertanam ke dalam file untuk
menggambarkan penulis dan versi.Rincian tersebut dapat dengan mudah dipalsukan, tetapi pada waktu mereka dapat digunakan sebagai IOC potensial
Peframe
Peframe oleh Gianni Amato adalah alat baris perintah yang secara otomatis dapat mengekstrak file properti statis, menampilkan beberapa informasi yang Anda dapat menjelajahi secara interaktif dengan PE Studio.Peframe dapat menghitung hash, ekstrak rincian PE header, mengidentifikasi packers umum, mendeteksi panggilan API yang mencurigakan, dan lain-lain
Peframe ditulis dalam Python. Ini berjalan dengan baik pada
Windows, selama Anda menginstal runtime Python.
ExifTool
Sebagai nyaman sebagai PE Studio dan peframe adalah, kadang-kadang itu bagus untuk memiliki alat baris perintah yang dirancang untuk satu pekerjaan tertentu. Selain itu, itu umumnya ide yang baik untuk dimasukkan ke dalam beberapa alat toolkit Anda yang melakukan fungsi yang sama. Misalnya, ExifTool Phil Harvey dapat mengekstrak berbagai data meta tertanam ke dalam file. Ini benar-benar bersinar ketika menganalisis gambar, tetapi juga dapat mengekstrak beberapa data dari Windows executable, seperti yang Anda lihat di bawah ini.
Strings2
Alat baris perintah lain yang berguna untuk memeriksa sifat statis dari file yang strings2 oleh Geoff McDonald.Dalam banyak hal, itu mirip dengan utilitas tali-extracting tradisional yang Anda kenal. Salah satu fitur bagus dari strings2 adalah kemampuannya untuk mengekstrak ASCII dan string Unicode-dikodekan dalam satu langkah.
Apa yang membuat strings2 cukup unik adalah kemampuannya untuk
mengekstrak string dari proses yang berjalan. Tentu, Anda bisa
melakukannya dengan menggunakan alat GUI seperti Process Explorer dan Proses
Hacker , tapi kadang-kadang lebih mudah untuk bisa mendapatkan
informasi ini dari command prompt. Sebuah proses akan mengungkapkan string
yang tidak terlihat di dalam file sampai program berjalan. Saya ngelantur,
meskipun. Setelah semua, penggalian data dari proses yang berjalan bukan
teknik analisis malware statis.
Signsrch
Alat lain yang layak disebut dalam konteks ini adalah Signsrch byLuigi Auriemma. Utilitas ini berguna statis dapat memeriksa file untuk melihat pola "kompresi, multimedia dan enkripsi algoritma dan banyak hal lainnya seperti string dikenal dan kode anti-debugging."
Exeinfo PE
Exeinfo PE adalah alat yang berguna untuk memeriksa berbagai aspek dari executable Windows. Ini terutama baik untuk mengidentifikasi tanda tangan dari packers yang sering digunakan. Dalam contoh di bawah, Exeinfo PE bendera file sebagai yang dikemas dengan UPX , sebuah utilitas yang populer untuk obfuscating program.Exeinfo PE bekerja dengan baik, tapi saya tidak tahu siapa yang menulis itu, karena alasan ini, saya hanya menjalankannya dalam sebuah analisis malware lab terisolasi .
Meskipun UPX generik relatif mudah untuk memotong (hanya
menggunakan perintah "upx-d"), sering digunakan oleh penulis malware . Hal
ini memungkinkan Anda untuk terus memeriksa file dalam bentuk yang kurang
terlindungi.
CFF Explorer
Untuk menguji rincian tambahan dari file executable Windows, pertimbangkan memuat spesimen ke CFF Explorer oleh Daniel Pistelli. Alat ini memungkinkan Anda mengedit isi dari file header PE. Misalnya, jika Anda memutuskan untuk menganalisis kode file pada Windows 8.1, Anda harus clearthe bendera DynamicBase di bidang DllCharacteristics untuk berurusan dengan fitur ASLR OS . CFF Explorer menyebut bidang ini "DLL dapat bergerak", seperti yang ditunjukkan di bawah ini.
Ketika Anda memeriksa sifat statis dari file yang mencurigakan,
Anda akan dapat menilai apakah itu menjamin pemeriksaan yang lebih menyeluruh
dengan menggunakan teknik analisis malware lainnya . Anda
akan dapat menentukan mana untuk memfokuskan upaya analisis berikutnya Anda
untuk menentukan apakah file tersebut, memang, berbahaya, seberapa buruk itu,
bagaimana mendeteksi dan bagaimana untuk memeriksa terbaik itu.
Jika topik ini yang anda, pertimbangkan untuk bergabung
baru-refresh dan diperluas SANS FOR610 saja , yang mengajarkan
bagaimana mengubah malware dari dalam ke luar. Juga, tune ke gratis forensik malware webcast direkam
oleh fakultas SANS dan menjelajahi link ke artikel disertakan di atas.
Daftar alat di atas adalah tidak lengkap. Apa alat favorit
Anda untuk memeriksa sifat statis file yang mencurigakan dan berbahaya?
.jpg)
Posting Komentar