REMnux: Käänteinen suunnittelu -haittaohjelma

Haittaohjelmien analyytikot ovat rohkeita sieluja, jotka kamppailevat "tuntemaan vihollisesi" digitaalisilla etulinjoilla:

"Haitallisten ohjelmistojen, kuten robotien, matojen ja troijalaisten tutkiminen niiden uhan luonteen ymmärtämiseksi. Tähän tehtävään sisältyy yleensä käännetyn suoritetun suoritetun suunnittelun suorittaminen ja sen selvittäminen, miten ohjelma on vuorovaikutuksessa ympäristöönsä.

Analyytikkoa voidaan pyytää dokumentoimaan näytteen hyökkäysominaisuudet, ymmärtämään sen etenemisominaisuudet ja määrittelemään allekirjoitukset sen läsnäolon havaitsemiseksi. "

Lisäksi haittaohjelma-analyytikot käyvät jatkuvasti kaksintaistelua pahojen poikien kanssa, jotka tekevät kaikkensa estääkseen koodinsa kääntämisen.

Kuppi teetä

Jos olet kiinnostunut oppimaan haittaohjelmien torjuntaan, tiedän vain kaverin - Lenny Zeltserin. Digitaalisen rikosteknisen asiantuntijan Eric Huberin ja toisen lähteeni mielestä se oli seuraava:

"Lenny on kansainvälisesti arvostettu asiantuntija tällä alalla ja hän on SANS-haittaohjelmakurssin sisällön vetäjä. Lenny on yksi mukavimmista ihmisistä, jonka olet koskaan tavannut. Hän on villisti älykäs ja hänellä on ainutlaatuinen yhdistelmä teknisiä kykyjä, liiketaloutta, ja viestintätaidot. "

Minun on tunnustettava, käänteissuunnittelukykyni ovat vähemmän kuin tähtiä. Onneksi Lennyn kaltaiset asiantuntijat yksinkertaistavat prosessia. Viime vuosina Lenny on hoitanut käänteisen suunnittelun työkalusarjaa nimeltään REMnux. Kysyin Ericiltä, ​​mitä hän ajatteli REMnuxista:

"En osaa kertoa sinulle kaikesta niin paljon ammattilaiselta, koska haittaohjelmien käänteinen suunnittelu ei ole jotain mitä teen. Kuitenkin, se on ensisijainen haittaohjelmien analysoinnin distro, joka on nykyään saatavana digitaalisen oikeuslääketieteen yhteisölle."

No, ehkä on toivoa. Puhuin Lennyn kanssa nähdäksesi, voisiko tämä "vanha ajastin" selvittää REMnux:

Kassner : Lenny, kuinka kuvailisit REMnuxia? Zeltser : REMnux on kevyt Linux-jakelu, joka auttaa haittaohjelman analyytikoita suunnittelemaan haittaohjelmia. Jakelu tapahtuu Ubuntulla, ja se sisältää työkaluja Microsoft Windowsissa toimivien haittaohjelmien analysointiin sekä selainpohjaisten haittaohjelmien, kuten Flash-ohjelmien ja hävitetyn JavaScriptin, analysointiin. Työkalupakki sisältää ohjelmia haitallisten asiakirjojen, kuten PDF-tiedostojen, analysoimiseksi sekä apuvälineitä haittaohjelmien käänteissuunnittelua varten muistineuvoston avulla.

Jotkut REMnux-työkaluista voivat jäljitellä verkkopalveluita eristetyssä laboratorioympäristössä käyttäytymiseen liittyvien haittaohjelmien analysoinnin yhteydessä. Osana tätä prosessia analyytikko tartuttaa tyypillisesti toisen laboratoriojärjestelmän haittaohjelmanäytteellä ja ohjaa yhteydet REMnux-järjestelmään kuuntelemalla asianmukaisia ​​portteja.

Julkaisin ensimmäisen version REMnuxista kesällä 2010. Kolmas merkittävä julkaisu ilmestyi vain muutama päivä sitten.

Kassner : Mitä tarkoittaa sekaannusten poistaminen, mitä haittaohjelmien kääntäminen tarkoittaa? Zeltser : Käänteinen tekninen haittaohjelma on haittaohjelmien analysointiprosessi ymmärtääksesi sen ominaisuudet ja ominaisuudet. Tähän pyrkimykseen sisältyy sen määritteleminen, mitä näyte voi tehdä, mutta myös määrittäminen, kuinka tunnistaa tällaisten ohjelmien esiintyminen vaikutusalaan kuuluvissa järjestelmissä.

Haittaohjelmatutkijat suorittavat tämän yleensä kaksivaiheisella lähestymistavalla:

  • Käyttäytymisanalyysi : Haittaohjelmien vuorovaikutuksen havaitseminen ja vaikuttaminen ympäristöönsä.
  • Koodianalyysi : Ohjelman sisältävän koodin tutkiminen.

REMnux on erityisen hyödyllinen käyttäytymiseen liittyvissä tehtävissä, vaikka siinä on myös työkaluja, jotka voivat auttaa koodianalyysin näkökohdissa.

Käänteissuunnitteluun liittyvistä haittaohjelmista on tullut kriittinen osa digitaalista oikeuslääketiedettä ja tapahtumien vastausta. Moniin tietorikkomuksiin ja muihin tietoturvaongelmiin liittyy jonkinlainen haittaohjelma, olipa kyse sitten käännetystä suoritettavasta tiedosta tai haitallisesta asiakirjasta.

Kassner : En osaa hyvin Linuxia; onko minulla ongelmia REMnuxin kanssa? Zeltser : Sinun on tunnettava Linuxin käytön perusasiat REMnuxin hyödyntämiseksi. Hyvä uutinen on, että sinun ei tarvitse suorittaa järjestelmänhallintatehtäviä löytääksesi REMnuxista hyödyllisen, koska monet haittaohjelmien analysointityökalut on jo esiasennettu, määritetty ja testattu REMnuxilla.

Hyvä tapa päästä alkuun tällä tiellä on käyttää REMnux Usage Tips -huijauskoodia, joka on luotu yhdessä REMnux-julkaisun kanssa.

Kassner : Haluan selventää jotain. Onko REMnux asennettava kokopäiväiseksi käyttöjärjestelmäksi vai voidaanko se asettaa käynnistyskelpoiseksi CD- tai USB-muistitikkuksi? Zeltser : REMnux ei ole suunniteltu asennettavaksi kokopäiväiseksi käyttöjärjestelmäksi. Sen sijaan analyytikot yleensä käynnistävät sen CD-levyltä tai USB-asemasta. Tämän tueksi REMnux on saatavana Live-CD: n ISO-kuvana.

Suosittu tapa käyttää REMnuxia on virtuaalinen laite. Tässä muodossa analyytikot käynnistävät REMnuxin virtualisointiohjelmiston avulla. Tämä lähestymistapa mahdollistaa REMnux-työkalujen hyödyntämisen erillisessä ympäristössä, joka toimii samanaikaisesti käyttäjän ensisijaisen käyttöympäristön kanssa.

Kassner : Mitkä pitäisit tässä luetelluista REMnux-työkaluista tärkeimpiä? Hyödyllisin? Zeltser : On vaikeaa erottaa yhtä työkalua hyödyllisimmäksi. REMnuxin tarkoituksena on luoda työkalupakki, joka sisältää erilaisia ​​apuohjelmia, joista haittaohjelman analyytikko pitää hyödyllisinä. Alla on joitain REMnuxiin asennetuista työkaluista. Muista, että suurin osa näistä ohjelmista on komentorivipohjaisia, ja niitä on vaikea havainnollistaa näyttökuvien avulla. REMnux Desktop : Mikä näkyy ensin, kun käyttäjä käynnistää järjestelmän. Itse työpöydällä on vain kaksi kuvaketta:
  • Paikallinen kopio REMnux-käyttövihjeiden huijauskortista.
  • Luonut mielikuvamalli haittaohjelman analyysin aikana vangittujen tietojen järjestämistä varten.

Oikeassa alakulmassa on muutamien REMnuxiin asennettujen GUI-työkalujen kuvakkeet, joita analyytikko todennäköisesti käyttää usein: xterm (terminaalin kuori), Wireshark (verkon sniffing), selain (Firefox), SciTE (tekstieditori).

Näyttökuva REMnux Desktop -sovelluksesta
FakeDNS : Päätelaite käyttää FakeDNS-työkalua, joka on suunniteltu auttamaan haitallisen verkon uudelleenohjaamista analyysilaboratoriossa. Tyypillisesti analyytikko tartuttaa laboratoriossa olevat Windows-järjestelmät haitallisella suoritettavalla ohjelmalla.

Kun suoritettava yritys yrittää päästä verkkoresurssiin; ehkä vuotaa tietoja, ladata päivityksen tai saada ohjeita hyökkääjältä, voimme siepata tällaisen liikenteen ja aloittaa vuorovaikutuksen haittaohjelmien kanssa oppiaksesi sen ominaisuuksista.

Näyttökuva FakeDNS: stä
PDF Walker : Näyttö näyttää yhden harvoista REMnuxin GUI-apuohjelmista - PDF Walker -, joka on osa Origami-kehystä. Tämä työkalu tarjoaa analyytikolle interaktiivisen käyttöliittymän epäilyttävän PDF-tiedoston tutkimiseksi sekä epäilyttävien esineiden, kuten JavaScriptin, etsimiseksi ja purkamiseksi.

Näyttökuva PDF Walkerista
PDF-Shellcode : Näytön vasemmalla puolella näet haittaohjelman JavaScriptin, joka on poistettu edellisessä luetelmakohdassa mainitusta PDF-tiedostosta. Näytön keskellä näkyy, kuinka komentotiedostojen suorittamisen emulaattoria SCTest (osa libemusta) voidaan käyttää määrittämään, mitä shellcode olisi tehnyt, jos se suoritettaisiin järjestelmässä, joka on herkkä PDF-tiedoston hyväksikäytölle.

Näyttökuva PDF-Shellcode-tiedostosta
PEScanner : Pääteikkunassa näkyy PEScanner, joka on työkalu, joka tutkii Windowsin suoritettavia ohjelmia mahdollisesti haitallisten komponenttien tunnistamiseksi, joten analyytikko tietää, miten lähestyä analyysitehtävää parhaiten.

Kuvakaappaus PEScannerista
Kassner: Mitä uutta on uusimmassa versiossa niille, jotka tuntevat REMnuxin aiemmat versiot? Zeltser : REMnux perustuu nyt Ubuntun uusimpaan versioon parantaakseen ylläpidettävyyttä ylläpitäen samalla taaksepäin -yhteensopivuutta aina, kun käytännöllinen. Päivitin työpöytäympäristön käyttämään täydellisemmän ikkunanhallintaa LXDE: tä käytettävyyden parantamiseksi.

Päivitin REMnuxin aikaisemman version saatavissa olevat haittaohjelmien analysointityökalut uusimpiin vakaisiin versioihin uusimpien ominaisuuksien ja parannusten tarjoamiseksi. Näistä merkittävimmät muutokset näkyvät muistin rikosteknisen tutkimuksen Volatility Framework 2.0: ssa ja PDF-analyysin Origami-puitteissa.

Uusi julkaisu sisältää useita haittaohjelmien analysointityökaluja, joita ei ollut olemassa jakelun aiemmissa versioissa. Näitä ovat NetworkMiner, PDF X-Ray Lite, Hachoir ja muut.

Kassner : Valmistellessani tätä haastattelua huomasin muita samanlaisia ​​tuotteita - melko kalliita, voisin lisätä. Onko jotain, joka antaa REMnuxille - vapauden lisäksi - ylittää kilpailun? Zeltser : Monet tietotekniikan ammattilaiset ovat kiinnostuneita ymmärtämään haittaohjelmien toimintaa, ja jotkut ovat kiinnostuneita haittaohjelmien analysoinnissa tarvittavista taitoista. Tämä ei ole helppo tehtävä, ja monet kykenevät ihmiset ovat epävarmoja kyvystään aloittaa oppimisprosessi. Tavoitteenani kirjoittaa tästä aiheesta ja ylläpitää REMnux Linux -jakelua on tehdä siitä mahdollisimman kivuton, että ihmiset alkavat kokeilla haittaohjelman analysointia.

Mitä enemmän ihmisiä tulee tälle kentälle, sitä enemmän asiantuntijoita meillä on rivillä. Ja voimme varmasti käyttää enemmän asiantuntijoita.

Tätä tavoitetta silmällä pitäen suunnittelin REMnuxin olevan kevyt, joten sitä voidaan käyttää vanhemmilla laitteilla. Ja olin varovainen asennettujen ja määritettyjen työkalujen suhteen. Mukana oli vain niitä, jotka mielestäni ovat hyödyllisiä haittaohjelmien analysoinnissa. Varo, etteivät ne häiritse tai häiritse analyytikkoa.

Koska jakelu perustuu Ubuntuun, jokainen henkilö voi helposti mukauttaa tai laajentaa REMnuxia tarpeidensa mukaan.

Kassner : Lenny halusi selventää jotain:

"Kun mainitsit kaupallisia tuotteita, viittasit todennäköisesti automatisoituihin haittaohjelmien analysointituotteisiin. REMnux ei yritä kilpailla niiden kanssa. Vaikka REMnuxiin asennetut työkalut voivat yksinkertaistaa monia haittaohjelmien analysointitehtäviä, REMnux ei ole automatisoitu työkalupakki. itsessään.

Sen sijaan REMnux tarjoaa paljon työkaluja, joita tutkijat voivat käyttää kaivautuakseen haittaohjelmien sisäisiin osiin, mikä antaa syvemmän käsityksen näytteestä kuin jotkut automatisoidut työkalut. Vaihtoehtoisesti työkalut voivat olla hyödyllisiä osana alkuperäistä triaagia, ennen kuin analyytikko päättää käyttää täydellisemmän kaupallisen tuotteen. "

Kassner : Luin, että suoritat SEM-kurssin REMnux-pohjalta. Voisitko puhua luokasta? Zeltser : Kurssi tarjoaa pyöristetyn lähestymistavan käänteiseen suunnitteluun kattamalla analyysiprosessin sekä käyttäytymis- että koodivaiheet. Tämän seurauksena uskon, että kurssi tekee haittaohjelmien analyysin saataville jopa yksilöille, joilla on rajoitettu altistuminen ohjelmointikonsepteille.

Luokka alkaa olettamalla, että opiskelijat eivät tunne haittaohjelmien analysointia. Käsitteiden ja tekniikoiden monimutkaisuus kasvaa kuitenkin kurssin edetessä. Lisätietoja ja opetusaikataulu löytyy osoitteesta LearnREM.com.

Lopulliset ajatukset

Siellä se on. Suuri suunnitteilla oleva ja ilmainen käänteisen suunnittelun työkalupakki. Ota se pyörittämistä varten ja kerro minulle mitä ajattelet.

Kiitos REMnuxista, Lennystä ja avustasi, joka selittää sen toiminnan.

© Copyright 2020 | mobilegn.com