Занятие 1. Задачи анализа ВПО и обратной разработки. Анализ

###### tags: `module11` `revers` `introduction` [ToC] # Занятие 1. Задачи анализа ВПО и обратной разработки. Анализ ## Видеозапись урока {%youtube jrNsmLaiO5A %} ### timecodes 00:00:00 Знакомство 00:11:10 Как будет построен курс. 00:19:25 Что такое ВПО? 00:20:40 Типы. 00:32:55 Цели использования 00:39:38 Задачи анализа ВПО 00:46:05 Перерыв 00:52:50 Типы анализа 01:04:00 Про лабораторию 01:14:55 Виртуальные машины 01:17:40 Про снепшоты для лаборатории 01:20:18 Анонимность 01:26:25 Получение хэшей. 01:35:00 Ищем в гугле найденный адрес 01:38:00 Перерыв 01:51:50 PEStudio 02:01:00 Поведенческий анализ 02:03:20 Мониторы процессов 02:04:30 Мониторы вызовов функций 02:07:40 Анализаторы трафика 02:14:00 APIMonitor теория 02:16:45 Внешние ресурсы для анализа 02:39:50 Перерыв 02:48:00 Общий треп 02:52:00 Анализируем файл PEStudio 03:09:40 Анализируем хэш на Virustotal и any.run 03:32:00 Вопросы и прощаемся ## Общие понятия ### Типы ВПО + Virus & Worms живет без ручного управления для распространения + Backdoor приложение дающие возможность общаться с атакованной машиной моет быть чем угодно - флэшки, интеренет + Trojan мимикрируют под нормальные приложения и файлы(картинки, документы) могут иметь разные направления, но основное своровать данные карт, паролей, кукисов + Rootkit прячут все свои высокоуровневые подключение и сессии, могут в режиме пользователя; ядра; биоса? + Exploit используют уязвимости в системах для получения доступов или подъема привилегий + Malicious tools что то подозрительное, но не обязательно вирус или вообще зловред могут быть полезными утилитами для исследователей, но могут быть использовать злоумышленники. например apimonitor ### Цели использования + Нарушение работы компьютера + Кража важной информации, в том числе персональной, деловой и финансовой + Несанкционированный доступ к зараженной системе + Шпионаж за зараженной системой + Создание DDoS + Блокировка файлов до получения выкупа ### Задачи анализа ВПО + Определить тип и цели ВПО + Объяснить, как происходит компрометация как проникали в систему? где первая точка входа? это нужно, чтобы понять не было ли повторов + Идентифицировать сетевые индикаторы файлы, интеренет(телнет, http, messengers) нужно для правил IPS + Извлечь хостовые индикаторы компрометации все месте где появлялись записи о зловреде нужно для лечения + Определить намерения и мотивы атакующих что бы понимать было ли что то выполнено или еще нужно ждать. ### Типы анализа Преданализ: Текст; Подписи : первичный анализ без запуска приложения, проверяем антивирусами Поведенческий анализ : смотрим как работает приложение в песочнице, различными утилитами фиксируем все что он меняет в системе; никакого анализа когда, никакого ассемблера в ПА входит и **Анализ снимка оперативной памяти** - используем для анализа, когда нужно обойти защиту вредоноса есть загрузчики зловредов на 50к - только для загрузки всей рабочей нагрузки, могут вообще ни чего не оставлять на диске и все каждый раз грузить из инета в память. Анализ кода: : позволяет нам обойти проблему анализа в песочнице, где малварь может попробовать блокировать себя анализировать (задержки перед началом выполнения) **Статический анализ** кода - используя утилиты для дизассемблирования и **Динамический анализ** дебаг дизассемблированного приложения ## Инструменты анализа ### Цели создания лаборатории + Сохранение контрольных точек исследований + Защита рабочего окружения от воздействия ВПО + ни когда не использовать рабочие носители для работы с этими средами + хорошо если линукс VM ставить на виндовый гипервизор и наоборот(сложнее для зловреда выходить наружу) + Своевременно обновлять ПО виртуализации + Устанавливать свежие копии ОС внутри виртуальных машин + Использовать режим сети Host-Only или ограничивать сетевой трафик + Исключить подключение съемных носителей, которые впоследствии могут быть использованы на физической машине + Использовать ОС Linux и MacOS в качестве хостовых для анализа ВПО для ОС Windows и наоборот ### Анонимность Для того что бы не выдать себя злоумышленнику если он работает по конкретному клиенту, лучше иметь возможности маскировать себя или выдавать за пользователя другого региона. + Tor + OpenVPN + FreeVPN ## Преданализ ### Получение хешей полезны для первичного анализа можем использовать [утилиту HashMyFiles](https://www.nirsoft.net/utils/hash_my_files.html) + GUI для ОС Windows + Поддержка разных алгоритмов хеширования + Работа с файлами / выбранной директорией ### Используемые строки можем использовать утилиту strings, позволяет быстро вывести все строки содержащиеся в бинарнике. + Консольные утилиты под ОС Windows и семейство ОС Linux + Поиск строк определенных кодировок + Поиск строк по длине ### PEStudio + Оценивает вредоносность образца с помощью системы черных списков: + строк + функций + библиотек + Получает информацию о детектировании экземпляра от VirusTotal + Могут быть ложные срабатывания и ложные несрабатывания ## Поведенческий анализ ### Инструменты ### Мониторы процессов + Process Explorer  Детальная информация о процессах  Возможность снятия дампа памяти процесса  Встроенная проверка на VirusTotal + Process hacker  Просмотр и редактирование секций памяти процессов  Изменение права на доступ к секциям  Просмотр строк ### Мониторы вызовов функций Process Monitor  Мониторинг основных системных функций (файловых, сетевых, связанных с реестром)  Фильтрация событий по широкому ряду параметров(в частности, по событиям процесса) + API Monitor  Поддержка перехвата функций различных библиотек для выбранного процесса (x86/x64)  Группировка по классам функций  Отображение входных параметров и возвращаемых данных  Декодирование константных результатов ### Анализаторы трафика + Wireshark  Пакетный анализатор трафика  Поиск строк, сортировка по протоколам и параметрам протоколов  Возможность написания плагинов, в том числе для кастомных протоколов + Fiddler  Анализ HTTP/HTTPS  Использование самоподписанного сертификата для HTTPSсессий (MitM)  Модификация запросов ### Внешние ресурсы для анализа + VirusTotal + Поддерживает более 70 антивирусных движков для детектирования ВПО и вредоносных URL + Предоставляет отношения рассматриваемого образца с другими (родительский образец, связанные ссылки и IP-адреса) + Отражает некоторые особенности поведения + Расширенная версия позволяет производить поиск ВПО по тегам и описаниям + Hybrid Analysis + Платформа анализа ВПО + Поддерживает запуск ВПО в песочнице + Классифицирует действия экземпляра по степени вредоносности + Отображает дерево запускаемых процессов и расширенную поведенческую аналитику (но только при полном доступе к сервису) + Any.Run + Получает **готовый набор IoC** для объекта + Соотносит действия объекта с **MITRE ATT&CK** + Анализирует сетевые события --- 00:26:14 Верещака Валерий (shrtU): IDA Free хватит на курс? 00:32:04 Михаил: ассемблерные вставки будем использовать на С? 01:29:25 Денис: а песочница должна иметь выход в инет? 01:42:01 Станислав Гребенец: эх Витя Витя... 02:06:22 Alexey Polyakov: 1d59u7 02:06:46 Alexey Polyakov: infected 02:34:43 Станислав Гребенец: есть аналоги где можно более большие запихивать? 02:52:32 Михаил: дропать это отбрасывать, а что в этой тематике означает дропать? 03:18:13 Eduard Kolibabchuk: ripgrep 03:29:51 Alexey Polyakov: 447a3d69bee5efc38c626872e399ada8 03:30:11 Alexey Polyakov: Dok-y 03:30:14 Alexey Polyakov: a3a6614e47512951bb08022e63f6cb53 03:34:46 Alexey Polyakov: JetBrain 03:34:53 Alexey Polyakov: 1b2cf5b43ff9e3cc43d7ccf01e236101 03:44:42 Alexey Polyakov: d658bb0ef0af33fd579ed7abbacaa372 03:47:00 Alexey Polyakov: a3a6614e47512951bb08022e63f6cb53