понедельник, 2 мая 2016 г.

Malware не ускользнет: самостоятельный анализ вредоносного кода


Анализ любого вредоносного кода требует специфических знаний отладки, машинных команд ассемблера, знания внутреннего устройства аппаратной и программной платформы. Это хлеб для вирусных аналитиков, ревеср-инженеров и  исследователей exploit-паков и т.д.. Именно благодаря им в базы антивирусного ПО добавляются новые сигнатуры и производителями выпускаются пачти закрывающие найденные уязвимости в ПО. Однако, как показала практика, разобраться в азах этого анализа возможно даже человеку не связанному напрямую с этой деятельность. Вы спросите - Как? Этому и посвящена наша сегодняшняя статья.


Эксперт по информационной безопасности Алексей Лукацкий на одном из очередных в 2016 году заседаний  Уральского форума проводил мастер-класс (если так можно выразиться) про самостоятельный анализ вредоносных или подозрительных файлов.


Выступление показалось интересным. Радует наличие средств технический анализа различных malware-кодов, учитывая, что сам Алексей ни имеет отношения ни к ревесрингу ни к работе антивирусных аналитиков.

И так, что в преддверии самого выступления сказал Алексей:

Надо сразу признаться, что я не практикующий аналитик и никогда не планировал им стать.  Моя задача состояла в другом.

Во-первых, показать, что не всегда стоит надеяться только на антивирусные компании, которым можно отправить подозрительный файл. Иногда можно провести анализ самостоятельно. Хотя бы первичный. Это как с первой помощью - ее можно провести и самому (при наличии определенной квалификации и пройденных тренингов). А уж медицинскую помощь должны оказывать специалисты. Тут схожая ситуация - снять хэш с файла для создания индикатора компрометации, сделать копию диска, снять "слепок" с оперативной памяти, записать сетевой трафик и т.п. Это все можно сделать и своими руками. А вот что делать дальше - вопрос открытый. Можно создать свою службу расследования, а можно уже общаться со специализированными компаниями.

Второй целью демонстрации было показать, что есть задачи, которые можно проводить своими силами и без привлечения дорогостоящих инструментов. Первых 8 демонстраций базируются на бесплатных или open source решениях, свободно скачиваемых из Интернет или являющихся частью операционных систем (тот же REMnux, Onion и т.п.). Но у бесплатных решений есть и минус - они требуют ресурсов - временных и людских, а также серьезной квалификации. 

С платным инструментарием по анализу вредоносной активности ситуация проще - им надо просто заслать файл для анализа и обратно получить вердикт. Просто и банально. Но за деньги. Выбирать вам. 

Вот собственно этому выбору и посвящена данная презентация с 9-ью демонстрациями.




В конце презентации приведена картинка, которая может быть не очень хорошо видна. Она содержит майнд-карту с перечнем инструментов, которыми должен владеть аналитик вредоносных файлов и вредоносной активности. Я ее тоже прикладываю - она полезна для расширения списка инструментов, которыми надо оснащать собственную службу расследования и анализа.




За материалы спасибо Алексей Лукацкий 

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...