感染したマシンをクリーンアップするだけでなく、マルウェアを分析するにはどうすればよいですか?
私は自分の環境で感染したデバイスに頻繁に遭遇し、侵入した特定の感染について詳しく知りたいと思っています。これを行うために使用できる最高のツールとテクニックは何ですか?デバイスのイメージを取り、仮想マシンを作成してテストを実行し、それを強制終了して、新しい感染したVMを最初から作成することを考えていました。
マルウェアの分析は、VMインターネットから切断されていることが望ましい)で行う必要があります。これは主にシステムを保護し、システムの拡散を阻止するためです(マルウェアにその機能がある場合)。スナップショットを使用することもできます。 、またはVM状態を保持しないように設定できます。 VirtualBox は無料で機能します。VMWarePlayerも無料ですが、制限されています。残念ながらスナップショットの使用を許可します。
マルウェア分析に役立つさまざまなツールがあります。インターネットから切断されると、マルウェアが悪意のあるコードを実行できなくなることがあります。マルウェアを強制的に操作を継続させるために、ポートをリッスンし、ネットワーク要求に適切に応答するサンドボックスツールがいくつかあります。 Practical Malware Analysisが推奨するのは FakeNet です。 FakeNetを使用すると、独自のプロトコルや非標準ポートへのカスタム応答を設計することもできます。
Cuckoo Sandbox は、マルウェアの動作中にマルウェアに関する分析レポートを提供できるオープンソースツールです。システムコールを追跡し、マルウェアによって作成されたファイル(後で削除された場合でも)のコピーを保持し、システム全体のメモリダンプを提供できます。非常に強力なツールです。
ほとんどのマルウェアはパックされているので、バイナリを解凍したり、リソースを抽出したりできるようにする必要があります。UPXが最も一般的です。 CFF Explorer はリソースの分析にかなり便利で、UPXユーティリティが含まれています。これらをチェックアウトすることをお勧めします 5ツール MAMBが推奨します。
これらのツールは、マルウェアがシステムで何をしているのかをよく見てくれます。ただし、ザラザラした詳細に取り掛かる必要がある場合は、人気の高い IDA Pro が必要です。これは主に、実行を強制できない複雑なマルウェア用です。一部のマルウェアは、中断されたスレッドで起動し、後で実行されます。自分のチェックでインターネットに接続していないことを知っている人もいます。したがって、彼らが達成しようとしていることを理解するために、分解に依存する必要があります。
役立つ他のツール、デバッガ。 Windbg または Ollydbg が最も一般的な2つですが、多くのオプションがあります。実行中にマルウェアに接続したり、ブレークポイントを設定したり、メモリを検査したりできます。
Moonsols DumpItでメモリイメージを取得し、Volatilityでイメージを分析できます。 Mandiant Redlineを使用してメモリイメージを収集し、何が悪いのかについての一般的な分析を実行することもできます。
タップポートまたはスパンポートを設定している場合は、完全なパケットキャプチャを行っていれば、戻ってパケットを分析できます。
自動実行、プロセスエクスプローラー、プロセスモニターなどのsysinternalsツールを使用して、何が起こっているのかをすばやく把握できます。
マルウェアを分離できたら、それをコピーして、malwrのようなサンドボックスまたは安全なVMで述べたように実行します。PracticalMalware Analysis on VMを安全にセットアップする方法と、動的解析と静的解析の両方に使用するツール。