Malware

Linux-Malware-Analyse

Linux-Malware-Analyse
Malware ist ein bösartiger Code, der mit der Absicht gesendet wird, dem Computersystem Schaden zuzufügen. Malware kann jeglicher Art sein, wie Rootkits, Spyware, Adware, Viren, Würmer usw., die sich versteckt und im Hintergrund läuft, während sie mit ihrem Leit- und Kontrollsystem im externen Netzwerk kommuniziert. Heutzutage sind die meisten Malwares zielspezifisch und speziell programmiert, um die Sicherheitsmaßnahmen des Zielsystems zu umgehen. Aus diesem Grund kann fortgeschrittene Malware mit normalen Sicherheitslösungen sehr schwer zu erkennen sein. Malware ist normalerweise zielspezifisch, und ein wichtiger Schritt beim Auslösen einer Malware ist ihr Infektionsvektor, d.e., wie die Malware die Oberfläche des Ziels erreicht. Beispielsweise können ein unscheinbarer USB-Stick oder bösartige herunterladbare Links (über Social Engineering/Phishing) verwendet werden. Malware muss in der Lage sein, eine Schwachstelle auszunutzen, um das Zielsystem zu infizieren. In den meisten Fällen ist Malware mit der Fähigkeit ausgestattet, mehr als eine Funktion auszuführen; Die Malware könnte beispielsweise einen Code enthalten, um eine bestimmte Sicherheitslücke auszunutzen, und könnte auch eine Nutzlast oder ein Programm enthalten, um mit dem angreifenden Computer zu kommunizieren.

REMnux

Das Zerlegen einer Computer-Malware, um ihr Verhalten zu untersuchen und zu verstehen, was sie tatsächlich tut, nennt man Malware-Reverse-Engineering. Um festzustellen, ob eine ausführbare Datei Malware enthält oder nur eine gewöhnliche ausführbare Datei ist, oder um zu wissen, was eine ausführbare Datei wirklich tut und welche Auswirkungen sie auf das System hat, gibt es eine spezielle Linux-Distribution namens REMnux. REMnux ist eine leichte, Ubuntu-basierte Distribution, die mit allen Tools und Skripten ausgestattet ist, die für eine detaillierte Malware-Analyse einer bestimmten Datei oder ausführbaren Software erforderlich sind software. REMnux ist mit kostenlosen und Open-Source-Tools ausgestattet, mit denen alle Arten von Dateien, einschließlich ausführbarer Dateien, untersucht werden können. Einige Werkzeuge in REMnux kann sogar verwendet werden, um unklaren oder verschleierten JavaScript-Code und Flash-Programme zu untersuchen.

Installation

REMnux kann auf jeder Linux-basierten Distribution oder in einer virtuellen Box mit Linux als Host-Betriebssystem ausgeführt werden. Der erste Schritt ist das Herunterladen der REMnux Verteilung von der offiziellen Website, die durch Eingabe des folgenden Befehls erfolgen kann:

[email protected]:~$ wget https://REMnux.org/remnux-cli

Stellen Sie sicher, dass es sich um dieselbe Datei handelt, die Sie wollten, indem Sie die SHA1-Signatur vergleichen. Die SHA1-Signatur kann mit dem folgenden Befehl erstellt werden:

[email protected]:~$ sha256sum remnux-cli

Verschieben Sie es dann in ein anderes Verzeichnis namens "remnux" und geben Sie ihm ausführbare Berechtigungen mit „chmod +x.” Führen Sie nun den folgenden Befehl aus, um den Installationsvorgang zu starten:

[email protected]:~$ mkdir remnux
[email protected]:~$ cd remnux
[email protected]:~$ mv… /remux-cli ./
[email protected]:~$ chmod +x remnux-cli
//Remnux installieren
[email protected]:~$ sudo install remnux

Starten Sie Ihr System neu und Sie können das neu installierte REMnux Distribution mit allen verfügbaren Tools für das Reverse-Engineering-Verfahren.

Eine weitere nützliche Sache über REMnux ist, dass Sie Docker-Images von beliebten verwenden können REMnux Tools, um eine bestimmte Aufgabe auszuführen, anstatt die gesamte Distribution zu installieren. Zum Beispiel die RetDec Werkzeug wird verwendet, um den Maschinencode zu zerlegen und es nimmt Eingaben in verschiedenen Dateiformaten wie 32-Bit/62-Bit-Exe-Dateien, Elf-Dateien usw. Rückruf ist ein weiteres großartiges Tool, das ein Docker-Image enthält, das verwendet werden kann, um einige nützliche Aufgaben auszuführen, wie das Extrahieren von Speicherdaten und das Abrufen wichtiger Daten. Um ein unklares JavaScript zu untersuchen, wird ein Tool namens JSdetox kann auch benutzt werden. Docker-Images dieser Tools sind im REMnux lager in der Docker-Hub.

Malware-Analyse

Die Überprüfung der Unvorhersehbarkeit eines Datenstroms nennt man Entropie. Ein konsistenter Strom von Datenbytes, zum Beispiel alle Nullen oder alle Einsen, haben 0 Entropie. Wenn die Daten hingegen verschlüsselt sind oder aus alternativen Bits bestehen, haben sie einen höheren Entropiewert. Ein gut verschlüsseltes Datenpaket hat einen höheren Entropiewert als ein normales Datenpaket, da Bitwerte in verschlüsselten Paketen unvorhersehbar sind und sich schneller ändern change. Entropie hat einen Minimalwert von 0 und einen Maximalwert von 8. Die Hauptanwendung von Entropy bei der Malware-Analyse besteht darin, Malware in ausführbaren Dateien zu finden. Wenn eine ausführbare Datei eine bösartige Malware enthält, wird sie meistens vollständig verschlüsselt, sodass AntiVirus ihren Inhalt nicht untersuchen kann. Das Entropieniveau dieser Art von Datei ist im Vergleich zu einer normalen Datei sehr hoch, die dem Ermittler ein Signal über etwas Verdächtiges im Inhalt einer Datei sendet. Ein hoher Entropiewert bedeutet eine hohe Verwürfelung des Datenstroms, was ein klarer Hinweis auf etwas Fischiges ist.

Dieses nützliche Tool wurde für einen einzigen Zweck entwickelt: um Malware in einem System zu finden. Normalerweise verpacken die Angreifer die Malware in verschlüsselte Daten (oder verschlüsseln/verschlüsseln sie), damit sie von Antivirensoftware nicht erkannt werden kann. Density Scout scannt den angegebenen Dateisystempfad und druckt die Entropiewerte jeder Datei in jedem Pfad (beginnend vom höchsten zum niedrigsten). Ein hoher Wert macht den Ermittler misstrauisch und er oder sie wird die Akte weiter untersuchen. Dieses Tool ist für Linux-, Windows- und Mac-Betriebssysteme verfügbar. Density Scout hat auch ein Hilfemenü mit einer Vielzahl von Optionen, die es bietet, mit der folgenden Syntax:

ubuntu@ubuntu:~ Densityscout --h

ByteHist ist ein sehr nützliches Werkzeug zum Generieren eines Diagramms oder Histogramms entsprechend dem Datenverwürfelungsniveau (Entropie) verschiedener Dateien. Es macht die Arbeit eines Ermittlers noch einfacher, da dieses Tool sogar Histogramme der Unterabschnitte einer ausführbaren Datei erstellt. Dies bedeutet, dass sich der Ermittler jetzt leicht auf den Teil konzentrieren kann, in dem der Verdacht auftritt, indem er nur das Histogramm betrachtet. Das Histogramm einer normal aussehenden Datei würde sich völlig von einer bösartigen Datei unterscheiden.

Anomalieerkennung

Malware kann normal mit verschiedenen Dienstprogrammen gepackt werden, wie z UPX. Diese Dienstprogramme ändern die Header von ausführbaren Dateien. Wenn jemand versucht, diese Dateien mit einem Debugger zu öffnen, stürzen die geänderten Header den Debugger ab, sodass die Ermittler nicht darauf zugreifen können. Für diese Fälle, Anomalieerkennung Werkzeuge werden verwendet.

PE Scanner ist ein nützliches in Python geschriebenes Skript, das verwendet wird, um unter anderem verdächtige TLS-Einträge, ungültige Zeitstempel, Abschnitte mit verdächtigen Entropieniveaus, Abschnitte mit Rohgrößen der Länge Null und in exe-Dateien verpackte Malware zu erkennen.

Ein weiteres großartiges Tool zum Scannen von exe- oder dll-Dateien auf ein seltsames Verhalten ist der EXE-Scan. Dieses Dienstprogramm überprüft das Header-Feld von ausführbaren Dateien auf verdächtige Entropieniveaus, Abschnitte mit Rohgrößen der Länge Null, Prüfsummenunterschiede und alle anderen Arten von nicht regulärem Verhalten von Dateien of. EXE Scan hat großartige Funktionen, die einen detaillierten Bericht erstellen und die Aufgaben automatisieren, was viel Zeit spart save.

Verschleierte Zeichenfolgen

Angreifer können a . verwenden Verschiebung Methode zum Verschleiern der Zeichenfolgen in bösartigen ausführbaren Dateien. Es gibt bestimmte Arten der Kodierung, die zur Verschleierung verwendet werden können. Beispielsweise, VERROTTEN Die Codierung wird verwendet, um alle Zeichen (kleine und große Alphabete) um eine bestimmte Anzahl von Positionen zu drehen. XOR Die Kodierung verwendet einen geheimen Schlüssel oder eine Passphrase (konstante), um eine Datei zu kodieren oder mit XOR zu verknüpfen. ROL kodiert die Bytes einer Datei, indem sie nach einer bestimmten Anzahl von Bits rotiert werden. Es gibt verschiedene Tools, um diese verwirrten Zeichenfolgen aus einer bestimmten Datei zu extrahieren.

XORsearch wird verwendet, um nach Inhalten in einer Datei zu suchen, die mit kodiert sind ROT-, XOR- und ROL-Algorithmen. Es wird alle Ein-Byte-Schlüsselwerte brutal erzwingen. Bei längeren Werten nimmt dieses Dienstprogramm viel Zeit in Anspruch, weshalb Sie die gesuchte Zeichenfolge angeben müssen. Einige nützliche Zeichenfolgen, die normalerweise in Malware zu finden sind, sind „http“ (meistens sind URLs in Malware-Code versteckt), "Dieses Programm" (Der Dateiheader wird in vielen Fällen durch Schreiben von "Dieses Programm kann nicht unter DOS ausgeführt werden" geändert). Nachdem Sie einen Schlüssel gefunden haben, können alle Bytes damit entschlüsselt werden. Die Syntax von XORsearch lautet wie folgt:

ubuntu@ubuntu:~ xorsearch -s
  • Brutexor

Nachdem Sie Schlüssel mit Programmen wie xor search, xor strings usw. gefunden haben., man kann ein großartiges Werkzeug namens verwenden Brutexor um eine beliebige Datei für Zeichenfolgen brutal zu erzwingen, ohne eine bestimmte Zeichenfolge anzugeben. Bei Verwendung des -f Option kann die gesamte Datei ausgewählt werden. Eine Datei kann zuerst brutal erzwungen werden und die extrahierten Strings werden in eine andere Datei kopiert. Dann, nachdem man sich die extrahierten Strings angesehen hat, kann man den Schlüssel finden, und jetzt können mit diesem Schlüssel alle mit diesem bestimmten Schlüssel codierten Strings extrahiert werden.

ubuntu@ubuntu:~ brutexor.py >> möchte die extrahierten Strings kopieren>
ubuntu@ubuntu:~ brutexor.py -f -k

Extraktion von Artefakten und wertvollen Daten (gelöscht)

Um Disk-Images und Festplatten zu analysieren und Artefakte und wertvolle Daten daraus zu extrahieren, mit verschiedenen Tools wie Skalpell, An erster Stelle, usw., man muss zuerst ein bitweises Abbild davon erstellen, damit keine Daten verloren gehen. Um diese Bildkopien zu erstellen, stehen verschiedene Werkzeuge zur Verfügung.

  • dd

dd wird verwendet, um ein forensisch fundiertes Abbild eines Laufwerks zu erstellen. Dieses Tool bietet auch eine Integritätsprüfung, indem es den Vergleich der Hashes eines Images mit dem Originallaufwerk ermöglicht. Das dd-Tool kann wie folgt verwendet werden:

ubuntu@ubuntu:~ dd if= von= bs=512
if=Quelllaufwerk (zum Beispiel /dev/sda)
of=Zielort
bs=Blockgröße (die Anzahl der gleichzeitig zu kopierenden Bytes)
  • dcfldd

dcfldd ist ein weiteres Tool für das Disk-Imaging. Dieses Tool ist wie eine aktualisierte Version des Dienstprogramms dd. Es bietet mehr Optionen als dd, z. B. Hashing zum Zeitpunkt der Bildgebung. Sie können die Optionen von dcfldd mit dem folgenden Befehl erkunden:

ubuntu@ubuntu:~ dcfldd -h
Verwendung: dcfldd [OPTION]…
bs=BYTES erzwinge ibs=BYTES und obs=BYTES
conv=KEYWORDS konvertiert die Datei gemäß der durch Kommas getrennten Schlüsselwortliste
count=BLOCKS nur BLOCKS Eingabeblöcke kopieren
ibs=BYTES liest BYTES Bytes gleichzeitig
if=DATEI aus DATEI lesen statt aus stdin
obs=BYTES schreibt BYTES Bytes gleichzeitig
of=FILE schreibe in DATEI statt in stdout
HINWEIS: of=FILE kann mehrmals zum Schreiben verwendet werden
Ausgabe in mehrere Dateien gleichzeitig
of:=COMMAND exec und schreibe die Ausgabe, um COMMAND zu verarbeiten
skip=BLOCKS überspringe BLOCKS Blöcke in ibs-Größe am Anfang der Eingabe
pattern=HEX verwendet das angegebene binäre Muster als Eingabe
textpattern=TEXT wiederholt TEXT als Eingabe verwenden
errlog=FILE schickt Fehlermeldungen sowohl an FILE als auch an stderr
hash=NAME entweder md5, sha1, sha256, sha384 oder sha512
Standardalgorithmus ist md5. Mehrere auswählen
gleichzeitig ausgeführte Algorithmen geben die Namen ein
in einer durch Kommas getrennten Liste
hashlog=FILE sende die MD5-Hash-Ausgabe an FILE anstelle von stderr
Wenn Sie mehrere Hash-Algorithmen verwenden,
kann jede mit der an eine separate Datei senden
Konvention ALGORITHMlog=FILE, zum Beispiel
md5log=DATEI1, sha1log=DATEI2 usw.
hashlog:=COMMAND exec und Hashlog schreiben, um COMMAND zu verarbeiten
ALGORITHMlog:=COMMAND funktioniert auch auf die gleiche Weise
hashconv=[before|after] Führe das Hashing vor oder nach den Konvertierungen durch
hash format=FORMAT Anzeige jedes Hashfensters gemäß FORMAT
die Hash-Format-Mini-Sprache wird unten beschrieben
totalhash format=FORMAT Anzeige des Gesamt-Hash-Wertes gemäß FORMAT
status=[on|off] zeigt eine kontinuierliche Statusmeldung auf stderr
Standardzustand ist "ein"
statusinterval=N aktualisiere die Statusmeldung alle N Blöcke
Standardwert ist 256
vf=FILE Überprüfen Sie, ob FILE mit der angegebenen Eingabe übereinstimmt
Verifylog=FILE Sende Verifizierungsergebnisse an DATEI statt an stderr
verifylog:=COMMAND exec und schreibe die Ergebnisse der Überprüfung, um COMMAND zu verarbeiten
--help Diese Hilfe anzeigen und beenden
--Version Ausgabe Versionsinformationen und Beenden
  • An erster Stelle

Foremost wird verwendet, um Daten aus einer Bilddatei herauszuschneiden, indem eine Technik verwendet wird, die als File Carving bekannt ist. Der Schwerpunkt beim File Carving liegt auf dem Carving von Daten mit Kopf- und Fußzeilen. Seine Konfigurationsdatei enthält mehrere Header, die vom Benutzer bearbeitet werden können. Foremost extrahiert die Header und vergleicht sie mit denen in der Konfigurationsdatei. Wenn es übereinstimmt, wird es angezeigt.

  • Skalpell

Scalpel ist ein weiteres Tool zum Abrufen und Extrahieren von Daten und ist vergleichsweise schneller als Foremost. Scalpel sieht sich den gesperrten Datenspeicherbereich an und beginnt mit der Wiederherstellung der gelöschten Dateien. Vor der Verwendung dieses Tools muss die Zeile der Dateitypen durch Entfernen auskommentiert werden # aus der gewünschten Zeile. Scalpel ist sowohl für Windows- als auch für Linux-Betriebssysteme verfügbar und gilt als sehr nützlich bei forensischen Untersuchungen.

  • Bulk-Extraktor

Bulk Extractor wird verwendet, um Funktionen wie E-Mail-Adressen, Kreditkartennummern, URLs usw. zu extrahieren. Dieses Tool enthält viele Funktionen, die den Aufgaben eine enorme Geschwindigkeit verleihen. Um teilweise beschädigte Dateien zu dekomprimieren, wird Bulk Extractor verwendet. Es kann Dateien wie JPGs, PDFs, Word-Dokumente usw. abrufen. Ein weiteres Merkmal dieses Tools ist, dass es Histogramme und Grafiken der wiederhergestellten Dateitypen erstellt, was es Ermittlern viel einfacher macht, gewünschte Orte oder Dokumente zu suchen.

Analysieren von PDFs

Ein vollständig gepatchtes Computersystem und das neueste Antivirenprogramm bedeuten nicht unbedingt, dass das System sicher ist. Schädlicher Code kann von überall in das System eindringen, einschließlich PDFs, schädlicher Dokumente usw. Eine PDF-Datei besteht normalerweise aus einem Header, Objekten, einer Querverweistabelle (um Artikel zu finden) und einem Trailer. „/Aktion öffnen“ und „/AA“ (Zusätzliche Aktion) stellt sicher, dass der Inhalt oder die Aktivität natürlich abläuft. „/Namen“, „/AcroForm“, und "/Aktion" können ebenfalls Inhalte oder Aktivitäten anzeigen und versenden. „/JavaScript“ zeigt an, dass JavaScript ausgeführt werden soll. "/Gehe zu*" ändert die Ansicht auf ein vordefiniertes Ziel im PDF oder in einem anderen PDF-Datensatz. "/Starten" sendet ein Programm oder öffnet ein Archiv. „/URI“ erhält ein Asset über seine URL. „/Formular absenden“ und „/GoToR“ kann Informationen an die URL senden. „/RichMedia“ kann verwendet werden, um Flash in PDF zu installieren. „/ObjStm“ kann Objekte in einem Objektstrom einhüllen. Achten Sie beispielsweise auf Verwechslungen mit Hex-Codes, „/JavaScript“ gegen “/J#61vaScript.” PDF-Dateien können mit verschiedenen Tools untersucht werden, um festzustellen, ob sie bösartiges JavaScript oder Shellcode enthalten.

  • pdfid.py

pdfid.py ist ein Python-Skript, das verwendet wird, um Informationen über ein PDF und seine Kopfzeilen zu erhalten. Werfen wir einen Blick auf die beiläufige Analyse eines PDFs mit pdfid:

ubuntu@ubuntu:~ python pdfid.bösartig.pdf
PDFiD 0.2.1 /home/ubuntu/Desktop/bösartig.pdf
PDF-Kopfzeile: %PDF-1.7
obj 215
Endobj 215
Strom 12
Endstrom 12
xref 2
Anhänger 2
startxref 2
/Seite 1
/ 0 verschlüsseln
/ObjStm 2
/JS 0
/JavaScript 2
/AA 0
/OpenAction 0
/AcroForm 0
/JBIG2Decode 0
/RichMedia 0
/Start 0
/EmbeddedFile 0
/XFA 0
/Farben > 2^24 0

Hier sehen Sie, dass in der PDF-Datei ein JavaScript-Code vorhanden ist, der am häufigsten verwendet wird, um den Adobe Reader auszunutzen.

  • peepdf

peepdf enthält alles, was für die Analyse von PDF-Dateien benötigt wird. Dieses Tool gibt dem Ermittler einen Einblick in Kodierungs- und Dekodierungsstreams, Metadatenbearbeitung, Shellcode, Ausführung von Shellcodes und bösartiges JavaScript. Peepdf hat Signaturen für viele Schwachstellen. Wenn es mit einer schädlichen PDF-Datei ausgeführt wird, legt peepdf jede bekannte Schwachstelle offen. Peepdf ist ein Python-Skript und bietet eine Vielzahl von Optionen zum Analysieren eines PDF. Peepdf wird auch von böswilligen Programmierern verwendet, um ein PDF mit bösartigem JavaScript zu packen, das beim Öffnen der PDF-Datei ausgeführt wird. Shellcode-Analyse, Extraktion schädlicher Inhalte, Extraktion alter Dokumentversionen, Objektmodifikation und Filtermodifikation sind nur einige der vielfältigen Funktionen dieses Tools.

ubuntu@ubuntu:~ python peepdf.bösartig.pdf
Datei: bösartig.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Größe: 263069 Byte
Version 1.7
Binär: Wahr
Linearisiert: Falsch
Verschlüsselt: Falsch
Aktualisierungen: 1
Objekte: 1038
Streams: 12
URIs: 156
Kommentare: 0
Fehler: 2
Ströme (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Xref-Streams (1): [1038]
Objektströme (2): [204, 705]
Kodiert (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Objekte mit URIs (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Verdächtige Elemente:/Namen (1): [200]

Kuckucks-Sandkasten

Sandboxing wird verwendet, um das Verhalten von ungetesteten oder nicht vertrauenswürdigen Programmen in einer sicheren, realistischen Umgebung zu überprüfen. Nach dem Einfügen einer Datei Kuckucks-Sandkasten, In wenigen Minuten zeigt dieses Tool alle relevanten Informationen und Verhaltensweisen an. Malware ist die Hauptwaffe von Angreifern und Kuckuck ist die beste Verteidigung, die man haben kann. Heutzutage reicht es nicht aus, nur zu wissen, dass eine Malware in ein System eindringt und sie zu entfernen, und ein guter Sicherheitsanalyst muss das Verhalten des Programms analysieren und untersuchen, um die Auswirkungen auf das Betriebssystem, seinen gesamten Kontext und seine Hauptziele zu bestimmen.

Installation

Cuckoo kann auf Windows-, Mac- oder Linux-Betriebssystemen installiert werden, indem Sie dieses Tool über die offizielle Website herunterladen: https://cuckoosandbox.Organisation/

Damit Cuckoo reibungslos funktioniert, muss man ein paar Python-Module und -Bibliotheken installieren. Dies kann mit den folgenden Befehlen erfolgen:

ubuntu@ubuntu:~ sudo apt-get installiere python python-pip
python-dev mongodb postgresql libpq-dev

Damit Cuckoo die Ausgabe anzeigt, die das Verhalten des Programms im Netzwerk aufdeckt, ist ein Paket-Sniffer wie tcpdump erforderlich, der mit dem folgenden Befehl installiert werden kann:

ubuntu@ubuntu:~ sudo apt-get install tcpdump

Um dem Python-Programmierer SSL-Funktionalität zu geben, um Clients und Server zu implementieren, kann m2crypto verwendet werden:

ubuntu@ubuntu:~ sudo apt-get install m2crypto

Verwendung

Cuckoo analysiert eine Vielzahl von Dateitypen, einschließlich PDFs, Word-Dokumente, ausführbare Dateien usw. Mit der neuesten Version können sogar Webseiten mit diesem Tool analysiert werden. Cuckoo kann auch den Netzwerkverkehr abbrechen oder über ein VPN leiten. Dieses Tool dumpt sogar Netzwerkverkehr oder SSL-aktivierten Netzwerkverkehr, der erneut analysiert werden kann. PHP-Skripte, URLs, HTML-Dateien, Visual Basic-Skripte, ZIP-, DLL-Dateien und fast alle anderen Dateitypen können mit Cuckoo Sandbox analysiert werden.

Um Cuckoo zu verwenden, müssen Sie eine Probe einreichen und dann ihre Wirkung und ihr Verhalten analysieren analyze.

Um Binärdateien zu übermitteln, verwenden Sie den folgenden Befehl:

# Kuckuck einreichen

Um eine URL zu übermitteln, verwenden Sie den folgenden Befehl:

# Kuckuck einreichen

Um ein Timeout für die Analyse einzurichten, verwenden Sie den folgenden Befehl:

# Kuckucks-Sende-Timeout=60s

Um eine höhere Eigenschaft für eine bestimmte Binärdatei festzulegen, verwenden Sie den folgenden Befehl:

# Kuckuck einreichen --Priorität 5

Die grundlegende Syntax von Cuckoo ist wie folgt:

# Kuckuck einreichen --package exe --options arguments=dosometask

Nach Abschluss der Analyse sind im Verzeichnis eine Reihe von Dateien zu sehen „CWD/Speicherung/Analyse“, mit den Ergebnissen der Analyse der bereitgestellten Proben. Die in diesem Verzeichnis vorhandenen Dateien umfassen die folgenden:

  • Analyse.Log: Enthält die Prozessergebnisse zum Zeitpunkt der Analyse, wie Laufzeitfehler, Erstellung von Dateien, etc.
  • Erinnerung.Dump: Enthält die vollständige Speicherauszugsanalyse.
  • Dump.pcap: Enthält den von tcpdump erstellten Netzwerk-Dump.
  • Dateien: Enthält jede Datei, an der die Malware gearbeitet oder die betroffen ist.
  • Dump_sorted.pcap: Enthält eine leicht verständliche Form von Dump.pcap-Datei zum Nachschlagen des TCP-Streams.
  • Protokolle: Enthält alle erstellten Protokolle.
  • Aufnahmen: Enthält Snapshots des Desktops während der Malware-Verarbeitung oder während der Zeit, in der die Malware auf dem Cuckoo-System ausgeführt wurde.
  • Tlsmaster.TXT: Enthält TLS-Master-Secrets, die während der Ausführung der Malware abgefangen wurden.

Fazit

Es besteht die allgemeine Meinung, dass Linux virenfrei ist oder dass die Wahrscheinlichkeit, Malware auf diesem Betriebssystem zu bekommen, sehr selten ist. Mehr als die Hälfte der Webserver sind Linux- oder Unix-basiert. Bei so vielen Linux-Systemen, die Websites und anderen Internetverkehr bedienen, sehen Angreifer einen großen Angriffsvektor in Malware für Linux-Systeme. Selbst die tägliche Verwendung von AntiVirus-Engines würde also nicht ausreichen. Zur Abwehr von Malware-Bedrohungen stehen zahlreiche Antivirus- und Endpunktsicherheitslösungen zur Verfügung. Aber um eine Malware manuell zu analysieren, REMnux und Kuckucks-Sandbox sind die besten verfügbaren Optionen. REMnux bietet eine breite Palette von Tools in einem leichten, einfach zu installierenden Verteilungssystem, das für jeden forensischen Ermittler bei der Analyse bösartiger Dateien aller Art auf Malware großartig wäre. Einige sehr nützliche Tools sind bereits ausführlich beschrieben, aber das ist nicht alles, was REMnux bietet, es ist nur die Spitze des Eisbergs. Zu den nützlichsten Tools im REMnux-Verteilungssystem gehören die folgenden:

Um das Verhalten eines verdächtigen, nicht vertrauenswürdigen Programms oder eines Drittanbieterprogramms zu verstehen, muss dieses Tool in einer sicheren, realistischen Umgebung ausgeführt werden, wie z Kuckucks-Sandkasten, damit das Host-Betriebssystem nicht beschädigt werden kann.

Die Verwendung von Netzwerkkontrollen und Systemhärtungstechniken bietet eine zusätzliche Sicherheitsebene für das System. Die Verfahren zur Reaktion auf Vorfälle oder zur Untersuchung der digitalen Forensik müssen ebenfalls regelmäßig aktualisiert werden, um Malware-Bedrohungen für Ihr System abzuwehren.

Cursor springt oder bewegt sich zufällig während der Eingabe in Windows 10
Wenn Sie feststellen, dass Ihr Mauszeiger während der Eingabe auf einem Windows-Laptop oder -Computer automatisch und zufällig springt oder sich von s...
So kehren Sie die Scrollrichtung von Maus und Touchpads in Windows 10 um
Maus und Touchpads machen das Rechnen nicht nur einfach, sondern auch effizienter und weniger zeitaufwendig. Wir können uns ein Leben ohne diese Gerät...
So ändern Sie Mauszeiger- und Cursorgröße, Farbe und Schema unter Windows 10
Der Mauszeiger und der Cursor in Windows 10 sind sehr wichtige Aspekte des Betriebssystems. Dies kann auch für andere Betriebssysteme gesagt werden, a...