SIEMからのマルウェアまたは不正なURLのテスト
マルウェアまたは不正なURLをテストしてSIEMからそれらを検証するための良いアプローチは何ですか?これらのテスト用にVMを設定するように言われましたが、内部ネットワークにヒットしたくないのです。
マルウェア分析とリバースエンジニアリングのスキルがない場合は、まず 無料の自動マルウェア分析サンドボックスとサービス を試し、強化された Cuckooサンドボックス をVPSにインストールして詳細を取得する必要があります動的分析。
VMで安全かつ効果的にマルウェアの分析とリバースエンジニアリングを行うには、本、ビデオ、記事、チュートリアルから多くを学ぶ必要があります。ウェブサイトの閲覧 Tuts 4 Yo =たくさんの役立つ 資料を読む .
実用的なマルウェア分析:悪意のあるソフトウェアを分析するための実践ガイド[Michael Sikorski、Andrew Honig]は、マルウェア分析の旅を始めるための古典的な本です。
初心者のためのリバースエンジニアリング は、リバースエンジニアリングを学ぶために頻繁に更新される優れた書籍です。
オープンセキュリティトレーニング リバースエンジニアリングとマルウェア分析のトピックに関する高品質の無料コースを提供します。
Hasherezadeのブログでは、より多くのヒントを紹介しています: https://hshrzd.wordpress.com/how-to-start/
サンドボックスは、「新規または未テストのソフトウェアまたはコーディングを安全に実行できる仮想空間」です。 Cuckoo Sandboxは、悪意のあるファイルのトリアージに使用されているこのテクノロジーの良い例です。
「適切なアプローチ」に関する限り-これはSIEMと、それを実装する方法に依存します。電子メールで受信したファイルを自動的に爆発させようとしていますか?すべてのファイルをダウンロードしましたか?取り組みの規模によっては、いくつかの商用ソリューションを検討する価値があります。
VirusTotal.com は、問題を確認するのに役立ちます。さらに、少量の自動化のための無料のAPIがあります。
VMを使用する場合は、ベンダーの指示に従って必ず分離してください。不良ドライブをVMにサムドライブまたはCDで転送する場合は、ホストとVM OSを一致させないため、ホストOSが問題のマルウェアを実行することすらできません。VMは分離とセグメンテーションを強制できるので、すばらしいです。
手動のマルウェア分析は、適切なツールとトレーニングで非常に効果的です。無料の SIFTワークステーション を使用するSANs FOR508トレーニングを強くお勧めします。 「SIFTワークステーションは、さまざまな設定で詳細なデジタル法医学検査を実行するように設計されたインシデント対応および法医学ツールのグループです。現在のあらゆるインシデントレスポンスとフォレンジックツールスイートを照合できます。」
自分でツールをまとめようとしている場合は、何をすべきか法医学的なことを知り、それを行うためのツールを見つける必要があります。家を建てようとするなら、どんなツールが何をすることができるか、そしてそれらが必要かどうか、いつ必要かを知る必要があります。個人的には、本当に賢い人が作成したさまざまなツールキットを備えたさまざまなVMを使用できてとてもうれしいです。そうすれば、その日に必要なものを何でも「ストラップ」して、仕事に行くことができます。新しいツールが必要な場合は、それを見つけたりビルドしたりして、成長しているツールキットに追加します。あなたはいつでもそれに追加することができます、それでなぜより少ないから始めますか?
いくつかのツール/ distros:
- トレーニング。 ノーマル の代わりはありません。
- VirtualBox SIFTインストール手順
- SIFTドキュメント、マニュアル、およびツールのリスト
- REMnux Distro: マルウェアのリバースエンジニアリングと分析のためのLinuxツールキット
- 同じフォレンジックシステムにSIFTワークステーションとREMnuxをインストールする方法
- FLARE VM FireEye Windowsマルウェア分析ディストリビューション
- ボラティリティ
- プラソ
- さらに多くの...リストする多くの...
この方向への少しのGoogle fuはあなたをより近づけるはずです...あなたがあなたのニーズを洗練するときより具体的な質問があるように聞こえますが気軽にコメントして、会話を始めてください。
マルウェアを処理する前に、常にシステム全体のメモリをダンプしてください。それができない場合は、さらに悪いことに、PE/ELF/Mach-の完全なプログラム分析を行うために x64dbg ツールチェーンを介して Scylla を使用する必要がありますマルウェア、または ViperMonkey VBAコードの場合。コードの種類はたくさんあるので、ここからはさらに悪化する可能性があります。問題は、ダンプしないと開梱する必要があるということです。つまり、Practical Malware Analysisの本や、新しいPackt Pubの本、Learning Malware Analysisで説明されているすべてのテクニックを読んで練習する必要があります。そして、リバースエンジニアリングをマスターする。マルウェアが sandbox evasion を実行しない場合でも、これらの手法は、環境的に重要なペイロードやコンテキスト認識型マルウェアの特定など、他の問題を明らかにするのに役立つことがあります。これらすべてを、各プロジェクトの後に吹き飛ばされ、CloneZillaまたはFogProjectによって再作成されるベアメタルで実行することをお勧めします。 Webブラウザーを実行し、Windowsドメイン(実際の本番ドメインではなくモックアップされたドメイン)に接続された非常に古いAVプログラムを実行するのはやり過ぎかもしれませんが、害はありません。 John Smithとしてもログインしないでください。マルウェアはあなたが何かをしていることを知っています。
ダンプ/アンパックされたマルウェアがMalpediaのYaraルールと一致しない場合、または YaraGuardian を使用して独自のYaraルール(特にMalpediaルールの反復)を記述して整理する場合、おそらく実行する必要がありますそれらのx64dbg/Scyllaおよび/またはViperMonkeyメソッドに戻ります。多くの場合、Yaraを最初に実行すると、マルウェアアナリストに次に進む方法が通知されます。パイプラインについては、 cse-assemblyline を確認してください。
不適切なURLの場合は、 Algo VPN を介してそれらに接続します。あなたやあなたの組織に接続できない一部の仮想化プロバイダーでホストされており、別のプロバイダー、ユーザーエージェントなどを試すようにしてください-そしてそれをSIEMデータに記録されたものと一致させて、webappの応答がリレーや嘘ではないことを確認します。これには、現実的なブラウザシナリオのモックアップ、タイミング条件のテスト、およびその他のタイミングや操作順序の問題が必要になる場合があります。アプリの応答がコードの場合は、コードを分析します(上記の原則に戻ります)。また、周囲の インフラストラクチャ を分析することもできます。多くの場合、これはC2の場合よりもドア(つまり、悪意のあるURI)の場合に当てはまりますが、 Maltrail は、パズルを解くための興味深い開始点と接続点をたくさん提供します。
VirusTotal(または何か未知のオンラインWebサービスなどに何かを送信するもの)の使用、またはVMまたはサンドボックス-特にアプライアンスではない)でマルウェアを実行することはお勧めしません。受信したすべてのマルウェアを保存し、適切にタグ付けします。できれば Viper と [〜#〜] misp [〜#〜] の両方を使用します。
悪意のあるロジックが実際に運用環境(特にラップトップ、サーバー、デスクトップ、IoTデバイスなど)の環境で実行またはインストールされた場合、 SkadiVM などのDFIR機能を追加することができます。 Splunk TA-Volatility 、または Volexity 。特に悪意のあるロジックにリモートアクセストロイの木馬(RAT)などのインプラントレベルのコンポーネントが含まれている場合は、発生したすべてのことを知っておくとよいでしょう。
次に、あなたが本当に良ければ、MISPを介してマルウェアインテリジェンスを他のグループと共有することになります。