Analiza złośliwego oprogramowania w systemie Linux

Złośliwe oprogramowanie to złośliwy kod wysłany z zamiarem uszkodzenia systemu komputerowego. Złośliwe oprogramowanie może być dowolnego typu, na przykład rootkity, oprogramowanie szpiegujące, oprogramowanie reklamowe, wirusy, robaki itp., który ukrywa się i działa w tle, komunikując się ze swoim systemem dowodzenia i kontroli w sieci zewnętrznej. Obecnie większość złośliwych programów jest określana jako cel i specjalnie zaprogramowana, aby ominąć środki bezpieczeństwa systemu docelowego. Dlatego zaawansowane złośliwe oprogramowanie może być bardzo trudne do wykrycia za pomocą zwykłych rozwiązań zabezpieczających. Złośliwe oprogramowanie jest zwykle specyficzne dla celu, a ważnym krokiem w wywołaniu złośliwego oprogramowania jest jego wektor infekcji, i.mi., w jaki sposób złośliwe oprogramowanie dotrze na powierzchnię celu. Na przykład można użyć nieokreślonej pamięci USB lub złośliwych linków do pobrania (za pośrednictwem socjotechniki/phishingu). Złośliwe oprogramowanie musi być w stanie wykorzystać lukę w zabezpieczeniach, aby zainfekować system docelowy. W większości przypadków złośliwe oprogramowanie jest wyposażone w możliwość wykonywania więcej niż jednej funkcji; na przykład złośliwe oprogramowanie może zawierać kod, który wykorzystuje określoną lukę, a także może zawierać ładunek lub program do komunikacji z atakującą maszyną.

REMnux

Deasemblacja złośliwego oprogramowania komputerowego w celu zbadania jego zachowania i zrozumienia, co faktycznie robi, nazywa się Inżynieria wsteczna złośliwego oprogramowania. Aby ustalić, czy plik wykonywalny zawiera złośliwe oprogramowanie, czy jest to zwykły plik wykonywalny, lub dowiedzieć się, co naprawdę robi plik wykonywalny i jaki ma wpływ na system, istnieje specjalna dystrybucja Linuksa o nazwie REMnux. REMnux to lekka dystrybucja oparta na Ubuntu, wyposażona we wszystkie narzędzia i skrypty potrzebne do przeprowadzenia szczegółowej analizy złośliwego oprogramowania na danym pliku lub programie wykonywalnym. REMnux jest wyposażony w darmowe i open-source narzędzia, które można wykorzystać do badania wszystkich typów plików, w tym wykonywalnych. Niektóre narzędzia w REMnux może być nawet używany do badania niejasnego lub zaciemnionego kodu JavaScript i programów Flash.

Instalacja

REMnux można uruchomić na dowolnej dystrybucji opartej na Linuksie lub w wirtualnym pudełku z Linuksem jako systemem operacyjnym hosta. Pierwszym krokiem jest pobranie REMnux dystrybucja ze swojej oficjalnej strony internetowej, co można zrobić, wpisując następujące polecenie:

[email chroniony]:~$ wget https://REMnux.org/remnux-cli

Upewnij się, że jest to ten sam plik, który chciałeś, porównując podpis SHA1. Podpis SHA1 można utworzyć za pomocą następującego polecenia:

[email chroniony]:~$ sha256sum remnux-cli

Następnie przenieś go do innego katalogu o nazwie „zwrot” i nadaj mu uprawnienia do wykonywania za pomocą „chmod +x.” Teraz uruchom następujące polecenie, aby rozpocząć proces instalacji:

[email chroniony]:~$ mkdir remnuxm
[ochrona poczty e-mail]: ~ $ cd remnux
[email chroniony]:~$ mv… /remux-cli ./
[email chroniony]:~$ chmod +x remnux-cli
//Zainstaluj Remnux
[ochrona poczty e-mail]:~$ sudo install remnux

Uruchom ponownie system, a będziesz mógł korzystać z nowo zainstalowanego REMnux dystrybucja zawierająca wszystkie narzędzia dostępne dla procedury inżynierii odwrotnej.

Kolejna przydatna rzecz o REMnux jest to, że możesz używać obrazów dokowanych popularnych REMnux narzędzia do wykonania określonego zadania zamiast instalowania całej dystrybucji. Na przykład Ret Dec narzędzie służy do demontażu kodu maszynowego i pobiera dane wejściowe w różnych formatach plików, takich jak 32-bitowe/62-bitowe pliki exe, pliki elf itp. Rekall to kolejne świetne narzędzie zawierające obraz dokowany, który może być używany do wykonywania niektórych przydatnych zadań, takich jak wyodrębnianie danych z pamięci i pobieranie ważnych danych. Aby zbadać niejasny JavaScript, narzędzie o nazwie JSdetox może być również używany. Obrazy dokowane tych narzędzi są obecne w in REMnux repozytorium w Centrum Dockera.

Analiza złośliwego oprogramowania

• Entropia

Sprawdzanie nieprzewidywalności strumienia danych nazywa się Entropia. Spójny strumień bajtów danych, na przykład wszystkie zera lub same jedyne, mają 0 Entropii. Z drugiej strony, jeśli dane są zaszyfrowane lub składają się z alternatywnych bitów, będą miały wyższą wartość entropii. Dobrze zaszyfrowany pakiet danych ma wyższą wartośćentropii niż normalny pakiet danych, ponieważ wartości bitów w zaszyfrowanych pakietach są nieprzewidywalne i zmieniają się szybciej. Entropia ma minimalną wartość 0 i maksymalną wartość 8. Podstawowym zastosowaniem Entropy w analizie złośliwego oprogramowania jest znajdowanie złośliwego oprogramowania w plikach wykonywalnych. Jeśli plik wykonywalny zawiera złośliwe oprogramowanie, w większości przypadków jest on w pełni zaszyfrowany, aby program antywirusowy nie mógł zbadać jego zawartości. Poziom entropii tego rodzaju pliku jest bardzo wysoki w porównaniu z normalnym plikiem, co wyśle ​​do badacza sygnał o czymś podejrzanym w zawartości pliku. Wysoka wartość entropii oznacza wysokie szyfrowanie strumienia danych, co jest wyraźnym wskazaniem czegoś podejrzanego.

• Skaut Gęstości

To przydatne narzędzie zostało stworzone w jednym celu: aby znaleźć złośliwe oprogramowanie w systemie. Zazwyczaj atakujący pakuje złośliwe oprogramowanie w zaszyfrowane dane (lub koduje/szyfruje je), aby nie mogło zostać wykryte przez oprogramowanie antywirusowe. Density Scout skanuje określoną ścieżkę systemu plików i drukuje wartości entropii każdego pliku w każdej ścieżce (począwszy od najwyższej do najniższej). Wysoka wartość sprawi, że śledczy będzie podejrzliwy i będzie dalej badał sprawę further. To narzędzie jest dostępne dla systemów operacyjnych Linux, Windows i Mac. Density Scout ma również menu pomocy pokazujące różne opcje, które zapewnia, o następującej składni:

ubuntu@ubuntu:~ identyfikacja gęstości --h

• ByteHist

ByteHist to bardzo przydatne narzędzie do generowania wykresu lub histogramu zgodnie z poziomem szyfrowania (entropii) danych różnych plików. To sprawia, że ​​praca badacza jest jeszcze łatwiejsza, ponieważ to narzędzie tworzy nawet histogramy podsekcji pliku wykonywalnego. Oznacza to, że teraz badacz może łatwo skupić się na części, w której pojawia się podejrzenie, po prostu patrząc na histogram. Histogram normalnie wyglądającego pliku byłby zupełnie inny niż złośliwyogram.

Wykrywanie anomalii

Złośliwe oprogramowanie można normalnie spakować przy użyciu różnych narzędzi, takich jak UPX. Te narzędzia modyfikują nagłówki plików wykonywalnych. Gdy ktoś próbuje otworzyć te pliki za pomocą debugera, zmodyfikowane nagłówki powodują awarię debugera, aby badacze nie mogli do niego zajrzeć. W tych przypadkach, Wykrywanie anomalii używane są narzędzia.

• Skaner PE (przenośne pliki wykonywalne)

PE Scanner to przydatny skrypt napisany w Pythonie, który służy do wykrywania między innymi podejrzanych wpisów TLS, nieprawidłowych znaczników czasu, sekcji z podejrzanymi poziomami entropii, sekcji o zerowych rozmiarach surowych oraz złośliwego oprogramowania spakowanego w plikach exe.

• Skanowanie exe

Innym świetnym narzędziem do skanowania plików exe lub dll w poszukiwaniu dziwnego zachowania jest skanowanie EXE. To narzędzie sprawdza pole nagłówka plików wykonywalnych pod kątem podejrzanych poziomów entropii, sekcji z surowymi rozmiarami o zerowej długości, różnic w sumach kontrolnych i wszystkich innych typów nieregularnego zachowania plików. EXE Scan ma świetne funkcje, generując szczegółowy raport i automatyzując zadania, co pozwala zaoszczędzić sporo czasu.

Zaciemnione struny

Atakujący mogą użyć przesunięcie metoda zaciemniania ciągów w złośliwych plikach wykonywalnych. Istnieją pewne rodzaje kodowania, które można wykorzystać do zaciemniania. Na przykład, GNIĆ kodowanie służy do obracania wszystkich znaków (mniejszych i wielkich alfabetów) o określoną liczbę pozycji. XOR kodowanie wykorzystuje tajny klucz lub hasło (stałe) do kodowania lub XOR pliku. ROL koduje bajty pliku, obracając je po określonej liczbie bitów. Istnieją różne narzędzia do wyodrębnienia tych zagadkowych ciągów z danego pliku.

• XORsearch

XORsearch służy do wyszukiwania zawartości w pliku, który jest zakodowany przy użyciu Algorytmy ROT, XOR i ROL. Wymusi brute force wszystkie jednobajtowe wartości klucza. W przypadku dłuższych wartości to narzędzie zajmie dużo czasu, dlatego musisz określić ciąg, którego szukasz. Niektóre przydatne ciągi, które zwykle znajdują się w złośliwym oprogramowaniu, to „http” (w większości przypadków adresy URL są ukryte w kodzie złośliwego oprogramowania), "Ten program" (nagłówek pliku jest modyfikowany poprzez napis „Ten program nie może być uruchomiony w DOS” w wielu przypadkach). Po znalezieniu klucza wszystkie bajty można za jego pomocą zdekodować. Składnia XORsearch jest następująca:

ubuntu@ubuntu:~ xorsearch -s

• brutexor

Po znalezieniu kluczy za pomocą programów takich jak xor search, xor strings itp., można użyć świetnego narzędzia o nazwie brutexor bruteforce dowolnego pliku dla łańcuchów bez podawania danego łańcucha. Podczas korzystania z -fa opcja, cały plik można wybrać. Plik może być najpierw brutalnie wymuszony, a wyodrębnione ciągi są kopiowane do innego pliku. Następnie, patrząc na wyodrębnione ciągi, można znaleźć klucz, a teraz za pomocą tego klucza można wyodrębnić wszystkie ciągi zakodowane przy użyciu tego konkretnego klucza.

ubuntu@ubuntu:~ brutexor.py >> chcesz skopiować wyodrębnione ciągi>
ubuntu@ubuntu:~ brutexor.py -f -k

Wyodrębnianie artefaktów i cennych danych (usunięte)

Aby analizować obrazy dysków i dysków twardych oraz wyodrębniać z nich artefakty i cenne dane za pomocą różnych narzędzi, takich jak Skalpel, Główny, itp., należy najpierw stworzyć ich obraz bit po bicie, aby żadne dane nie zostały utracone. Do tworzenia tych kopii obrazów dostępne są różne narzędzia.

• dd

dd służy do tworzenia kryminalistycznego obrazu dysku. To narzędzie zapewnia również kontrolę integralności, umożliwiając porównanie skrótów obrazu z oryginalnym dyskiem twardym. Narzędzia dd można używać w następujący sposób:

ubuntu@ubuntu:~ dd jeśli= z= bs=512
if=dysk źródłowy (na przykład /dev/sda)
of=Lokalizacja docelowa
bs=Rozmiar bloku (liczba bajtów do skopiowania na raz)

• dcfldd

dcfldd to kolejne narzędzie używane do obrazowania dysku. To narzędzie jest jak ulepszona wersja narzędzia dd. Zapewnia więcej opcji niż dd, takich jak hashowanie w czasie obrazowania. Możesz zbadać opcje dcfldd za pomocą następującego polecenia:

ubuntu@ubuntu:~ dcfldd -h
Użycie: dcfldd [OPCJA]…
bs=BAJTÓW wymusza ibs=BAJTÓW i obs=BAJTÓW
conv=KEYWORDS przekonwertuj plik zgodnie z listą słów kluczowych oddzielonych przecinkami
count=BLOKI kopiuj tylko BLOKI bloki wejściowe
ibs=BYTES odczytuje BYTES bajtów na raz
if=PLIK czytany z PLIKU zamiast ze standardowego wejścia
obs=BYTES zapisuje BYTES bajtów na raz
of=PLIK zapisuje do PLIKU zamiast na standardowe wyjście
UWAGA: of=PLIK może być użyty kilka razy do zapisu
wyjście do wielu plików jednocześnie
of:=COMMAND exec i zapisz dane wyjściowe do procesu COMMAND
skip=BLOKI pomiń BLOKI o rozmiarze ibs na początku wejścia
pattern=HEX użyj określonego wzoru binarnego jako wejścia as
textpattern=TEKST użyj powtarzającego się TEKSTU jako danych wejściowych
errlog=PLIK wysyła komunikaty o błędach do PLIKU oraz na stderr
hash=NAME albo md5, sha1, sha256, sha384 lub sha512
domyślnym algorytmem jest md5. Aby wybrać wiele
algorytmy do uruchomienia jednocześnie wprowadź nazwy
na liście oddzielonej przecinkami
hashlog=PLIK wyślij wynik skrótu MD5 do PLIKU zamiast na stderr
jeśli używasz wielu algorytmów haszujących, to
może wysłać każdy do osobnego pliku za pomocą
konwencja ALGORYTMlog=PLIK, na przykład
md5log=PLIK1, sha1log=PLIK2, itd.
hashlog:=COMMAND exec i zapisz hashlog do przetwarzania POLECENIA
ALGORITHMlog:=COMMAND również działa w ten sam sposób
hashconv=[przed|po] wykonuje haszowanie przed lub po konwersji
hash format=FORMAT wyświetla każde hashwindow zgodnie z FORMAT
mini-język w formacie skrótu jest opisany poniżej
totalhash format=FORMAT wyświetla całkowitą wartość hash według FORMAT
status=[on|off] wyświetla ciągły komunikat o stanie na stderr
stan domyślny to „włączony”
statusinterval=N aktualizuj komunikat o stanie co N bloków
domyślna wartość to 256
vf=PLIK sprawdź, czy PLIK pasuje do określonego wejścia matches
Verifylog=PLIK wyślij wyniki weryfikacji do PLIK zamiast na stderr
Verifylog:=COMMAND exec i zapisywać weryfikujące wyniki do procesu COMMAND
--pomóż wyświetlić tę pomoc i wyjść
--wersja wypisuje informacje o wersji i kończy pracę

• Główny

Przede wszystkim służy do wycinania danych z pliku obrazu przy użyciu techniki znanej jako rzeźbienie pliku. Głównym celem rzeźbienia plików jest rzeźbienie danych za pomocą nagłówków i stopek. Jego plik konfiguracyjny zawiera kilka nagłówków, które mogą być edytowane przez użytkownika. Przede wszystkim wyodrębnia nagłówki i porównuje je z tymi w pliku konfiguracyjnym. Jeśli pasuje, zostanie wyświetlony.

• Skalpel

Skalpel to kolejne narzędzie używane do wyszukiwania i ekstrakcji danych, które jest stosunkowo szybsze niż Foremost. Skalpel przegląda zablokowany obszar przechowywania danych i rozpoczyna odzyskiwanie usuniętych plików. Przed użyciem tego narzędzia wiersz typów plików musi zostać odkomentowany przez usunięcie # z żądanej linii. Skalpel jest dostępny zarówno dla systemów operacyjnych Windows, jak i Linux i jest uważany za bardzo przydatny w śledztwach kryminalistycznych.

• Ekstraktor luzem

Bulk Extractor służy do wyodrębniania funkcji, takich jak adresy e-mail, numery kart kredytowych, adresy URL itp. To narzędzie zawiera wiele funkcji, które dają ogromną szybkość wykonywania zadań. Do dekompresji częściowo uszkodzonych plików używany jest Bulk Extractor. Może pobierać pliki takie jak jpg, pdf, dokumenty tekstowe itp. Inną cechą tego narzędzia jest to, że tworzy histogramy i wykresy odzyskanych typów plików, co znacznie ułatwia badaczom przeglądanie pożądanych miejsc lub dokumentów.

Analizowanie plików PDF

Posiadanie w pełni zaktualizowanego systemu komputerowego i najnowszego programu antywirusowego nie musi oznaczać, że system jest bezpieczny. Złośliwy kod może dostać się do systemu z dowolnego miejsca, w tym z plików PDF, złośliwych dokumentów itp. Plik pdf zwykle składa się z nagłówka, obiektów, tabeli odsyłaczy (aby znaleźć artykuły) i zwiastuna. „/OtwórzAkcję” i „/AA” (Dodatkowa akcja) zapewnia, że ​​treść lub aktywność przebiega naturalnie. „/Nazwy”, „/AcroForm”, i "/Akcja" może podobnie wskazywać i wysyłać treści lub czynności. „/Skrypt JavaScript” wskazuje JavaScript do uruchomienia. "/Iść do*" zmienia widok na predefiniowany cel w pliku PDF lub w innym rekordzie PDF. "/Uruchomić" wysyła program lub otwiera archiwum. „/URI” uzyskuje zasób przez jego adres URL. „/Prześlij formularz” i „/Przejdź do” może wysyłać informacje na adres URL. "/Bogate media" może być użyty do zainstalowania Flasha w PDF. „/ObjStm” może owijać obiekty wewnątrz strumienia obiektów. Bądź świadomy na przykład pomyłek z kodami szesnastkowym, „/Skrypt JavaScript” przeciw „/J#61vaSkrypt.” Pliki PDF można badać za pomocą różnych narzędzi w celu ustalenia, czy zawierają złośliwy kod JavaScript lub szelkod.

• pdfid.py

pdfid.py to skrypt Pythona używany do uzyskiwania informacji o pliku PDF i jego nagłówkach. Przyjrzyjmy się swobodnej analizie pliku PDF za pomocą pdfid:

ubuntu@ubuntu:~ Python pdfid.py złośliwy.pdf
PDFiD 0.2.1 /home/ubuntu/komputer/złośliwe.pdf
Nagłówek PDF: %PDF-1.7
obiekt 215
endobj 215
strumień 12
strumień końcowy 12
odnośnik 2
przyczepa 2
startxref 2
/Strona 1
/Zaszyfruj 0
/ObjStm 2
/JS 0
/JavaScript 2
/AA 0
/OtwórzAkcję 0
/AcroForm 0
/JBIG2Dekoduj 0
/RichMedia 0
/Uruchom 0
/EmbeddedFile 0
/XFA 0
/Kolory > 2^24 0

Tutaj widać, że wewnątrz pliku PDF znajduje się kod JavaScript, który jest najczęściej używany do wykorzystania Adobe Reader.

• sikaćpdf

peepdf zawiera wszystko, co potrzebne do analizy plików PDF. To narzędzie daje badaczowi wgląd w strumienie kodowania i dekodowania, edycję metadanych, szelkod, wykonywanie szelkodów i złośliwy kod JavaScript. Peepdf ma sygnatury wielu luk w zabezpieczeniach. Po uruchomieniu go ze złośliwym plikiem pdf, peepdf ujawni każdą znaną lukę. Peepdf to skrypt w języku Python, który zapewnia różne opcje analizy pliku PDF. Peepdf jest również wykorzystywany przez złośliwych programistów do pakowania pliku PDF ze złośliwym kodem JavaScript, uruchamianym po otwarciu pliku PDF. Analiza shellcode, ekstrakcja złośliwej zawartości, ekstrakcja starych wersji dokumentów, modyfikacja obiektów i modyfikacja filtrów to tylko niektóre z szerokiego zakresu możliwości tego narzędzia.

ubuntu@ubuntu:~ python peepdf.py złośliwy.pdf
Plik: złośliwy.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Rozmiar: 263069 bajtów
Wersja 1.7
Binarny: Prawda
Zlinearyzowane: Fałsz
Zaszyfrowane: Fałszywe
Aktualizacje: 1
Obiekty: 1038
Strumienie: 12
URI: 156
Komentarze: 0
Błędy: 2
Strumienie (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Strumienie odnośników (1): [1038]
Strumienie obiektów (2): [204, 705]
Zakodowane (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Obiekty z identyfikatorami URI (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Podejrzane elementy:/Nazwiska (1): [200]

Piaskownica z kukułką

Sandboxing służy do sprawdzania zachowania nieprzetestowanych lub niezaufanych programów w bezpiecznym, realistycznym środowisku. Po umieszczeniu pliku w Piaskownica z kukułką, w ciągu kilku minut to narzędzie ujawni wszystkie istotne informacje i zachowania. Złośliwe oprogramowanie jest główną bronią atakujących i Kukułka to najlepsza obrona, jaką można mieć. W dzisiejszych czasach sama wiedza, że ​​złośliwe oprogramowanie dostaje się do systemu i usuwa go, nie wystarczy, a dobry analityk bezpieczeństwa musi przeanalizować i przyjrzeć się zachowaniu programu, aby określić wpływ na system operacyjny, cały jego kontekst i główne cele.

Instalacja

Cuckoo można zainstalować na systemach operacyjnych Windows, Mac lub Linux, pobierając to narzędzie z oficjalnej strony internetowej: https://cuckoosandbox.organizacja/

Aby Kukułka działała płynnie, należy zainstalować kilka modułów i bibliotek Pythona. Można to zrobić za pomocą następujących poleceń:

ubuntu@ubuntu:~ sudo apt-get zainstaluj pythona python-pip
python-dev mongodb postgresql libpq-dev

Aby Cuckoo wyświetlał dane wyjściowe ujawniające zachowanie programu w sieci, wymagany jest sniffer pakietów, taki jak tcpdump, który można zainstalować za pomocą następującego polecenia:

ubuntu@ubuntu:~ sudo apt-get zainstaluj tcpdump

Aby dać programiście Pythona funkcjonalność SSL do implementacji klientów i serwerów, można użyć m2crypto:

ubuntu@ubuntu:~ sudo apt-get zainstaluj m2crypto

Stosowanie

Cuckoo analizuje różne typy plików, w tym pliki PDF, dokumenty tekstowe, pliki wykonywalne itp. W najnowszej wersji za pomocą tego narzędzia można analizować nawet strony internetowe. Kukułka może również odrzucać ruch sieciowy lub kierować go przez VPN. To narzędzie zrzuca nawet ruch sieciowy lub ruch sieciowy z włączonym SSL, który można ponownie przeanalizować. Skrypty PHP, adresy URL, pliki html, skrypty Visual Basic, pliki zip, dll i prawie każdy inny typ plików można analizować za pomocą Cuckoo Sandbox.

Aby użyć Kukułki, musisz przesłać próbkę, a następnie przeanalizować jej działanie i zachowanie.

Aby przesłać pliki binarne, użyj następującego polecenia:

# prześlij kukułkę

Aby przesłać adres URL, użyj następującego polecenia:

# prześlij kukułkę

Aby ustawić limit czasu analizy, użyj następującego polecenia:

# czas wysłania kukułki = 60s

Aby ustawić wyższą właściwość dla danego pliku binarnego, użyj następującego polecenia:

# prześlij kukułkę -- priorytet 5

Podstawowa składnia Kukułki jest następująca:

# kukułka prześlij --package exe --opcje argumenty=dosometask

Po zakończeniu analizy w katalogu można zobaczyć kilka plików „CWD/przechowywanie/analiza”, zawierające wyniki analizy dostarczonych próbek. Pliki znajdujące się w tym katalogu obejmują:

• Analiza.log: Zawiera wyniki procesu w czasie analizy, takie jak błędy uruchomieniowe, tworzenie plików itp.
• Pamięć.wysypisko: Zawiera pełną analizę zrzutu pamięci.
• Wysypisko.pcp: Zawiera zrzut sieciowy utworzony przez tcpdump.
• Akta: Zawiera każdy plik, na którym działało złośliwe oprogramowanie lub którego dotyczyło.
• Dump_sorted.pcp: Zawiera łatwo zrozumiałą formę zrzutu.plik pcap do wyszukania strumienia TCP.
• Dzienniki: Zawiera wszystkie utworzone logi.
• Strzały: Zawiera migawki pulpitu podczas przetwarzania złośliwego oprogramowania lub w czasie, gdy złośliwe oprogramowanie było uruchomione w systemie Kukułka.
• Tlsmaster.tekst: Zawiera główne sekrety TLS przechwycone podczas wykonywania złośliwego oprogramowania.

Wniosek

Panuje ogólne przekonanie, że Linux jest wolny od wirusów lub że szansa na uzyskanie złośliwego oprogramowania na tym systemie operacyjnym jest bardzo rzadka. Ponad połowa serwerów WWW jest oparta na systemie Linux lub Unix. Przy tak wielu systemach Linux obsługujących strony internetowe i inny ruch internetowy osoby atakujące widzą duży wektor ataku w złośliwym oprogramowaniu dla systemów Linux. Tak więc nawet codzienne korzystanie z silników antywirusowych nie wystarczy. Dostępnych jest wiele rozwiązań antywirusowych i zabezpieczających punkty końcowe end. Ale aby ręcznie analizować złośliwe oprogramowanie, REMnux i piaskownica z kukułką są najlepsze dostępne opcje. REMnux zapewnia szeroką gamę narzędzi w lekkim, łatwym do zainstalowania systemie dystrybucji, który byłby świetny dla każdego śledczego do analizy złośliwych plików wszelkiego rodzaju pod kątem złośliwego oprogramowania. Kilka bardzo przydatnych narzędzi zostało już szczegółowo opisanych, ale to nie wszystko, co ma REMnux, to tylko wierzchołek góry lodowej. Niektóre z najbardziej przydatnych narzędzi w systemie dystrybucji REMnux to:

Aby zrozumieć zachowanie podejrzanego, niezaufanego programu lub programu innej firmy, narzędzie to musi być uruchamiane w bezpiecznym, realistycznym środowisku, takim jak Piaskownica z kukułką, aby nie można było wyrządzić szkody systemowi operacyjnemu hosta.

Korzystanie z kontroli sieci i technik wzmacniania systemu zapewnia dodatkową warstwę bezpieczeństwa systemu. Techniki reagowania na incydenty lub techniki dochodzenia w zakresie kryminalistyki cyfrowej muszą być również regularnie aktualizowane, aby przezwyciężyć zagrożenia złośliwego oprogramowania w systemie.