Haittaohjelma

Linux-haittaohjelmien analyysi

Linux-haittaohjelmien analyysi
Haittaohjelma on haitallinen koodinpätkä, joka lähetetään tarkoituksena vahingoittaa tietokonejärjestelmää. Haittaohjelmat voivat olla minkä tahansa tyyppisiä, kuten juuripaketit, vakoiluohjelmat, mainosohjelmat, virukset, madot jne., joka piiloutuu ja toimii taustalla ollessaan yhteydessä ulkoisen verkon komento- ja ohjausjärjestelmään. Nykyään suurin osa haittaohjelmista on kohdemääritelty ja ohjelmoitu erityisesti ohittamaan kohdejärjestelmän turvatoimet. Siksi edistyneitä haittaohjelmia voi olla erittäin vaikea havaita tavallisten tietoturvaratkaisujen avulla. Haittaohjelmat ovat yleensä kohdekohtaisia, ja tärkeä askel haittaohjelman laukaisussa on sen infektiovektori, ts.e., kuinka haittaohjelma saavuttaa kohteen pinnan. Esimerkiksi ei-kuvattua USB-muistia tai haitallisia ladattavia linkkejä (sosiaalisen suunnittelun / tietojenkalastelun kautta) voidaan käyttää. Haittaohjelmien on kyettävä hyödyntämään haavoittuvuutta tartuttamaan kohdejärjestelmä. Useimmissa tapauksissa haittaohjelmat on varustettu kyvyllä suorittaa useampi kuin yksi toiminto; esimerkiksi haittaohjelma voi sisältää koodin tietyn haavoittuvuuden hyödyntämiseksi ja voi myös kantaa hyötykuormaa tai ohjelmaa kommunikoidakseen hyökkääjän kanssa.

REMnux

Tietokoneen haittaohjelman purkamista sen käyttäytymisen tutkimiseksi ja sen oikean toiminnan ymmärtämiseksi kutsutaan Haittaohjelmien käänteinen suunnittelu. Voit selvittää, sisältääkö suoritettava tiedosto haittaohjelmia vai onko se vain tavallinen suoritettava tiedosto, tai tietää, mitä suoritettava tiedosto todella tekee ja miten sillä on vaikutuksia järjestelmään, on olemassa erityinen Linux-jakelu nimeltä REMnux. REMnux on kevyt, Ubuntu-pohjainen jakelu, joka on varustettu kaikilla työkaluilla ja skripteillä, joita tarvitaan yksityiskohtaisen haittaohjelman analyysin suorittamiseen tietylle tiedostolle tai suoritettavalle ohjelmalle. REMnux on varustettu ilmaisilla ja avoimen lähdekoodin työkaluilla, joita voidaan käyttää kaikentyyppisten tiedostojen tutkimiseen, mukaan lukien suoritettavat tiedostot. Joitakin työkaluja sisään REMnux Sitä voidaan käyttää jopa epäselvän tai hämmentyneen JavaScript-koodin ja Flash-ohjelmien tutkimiseen.

Asennus

REMnux voidaan suorittaa millä tahansa Linux-pohjaisella jakelulla tai virtuaalisessa laatikossa, jossa Linux on isäntäkäyttöjärjestelmä. Ensimmäinen askel on ladata REMnux jakelu virallisella verkkosivustollaan, mikä voidaan tehdä kirjoittamalla seuraava komento:

[sähköposti suojattu]: ~ $ wget https: // REMnux.org / remnux-cli

Varmista, että tarkistat, että se on sama tiedosto kuin haluat, vertaamalla SHA1-allekirjoitusta. SHA1-allekirjoitus voidaan tuottaa seuraavalla komennolla:

[sähköposti suojattu]: ~ $ sha256sum remnux-cli

Siirrä sitten se toiseen nimettyyn hakemistoon "Remnux" ja anna sille suoritettavat käyttöoikeudet “Chmod + x.” Suorita seuraava komento aloittaaksesi asennusprosessin:

[sähköposti suojattu]: ~ $ mkdir remnux
[sähköposti suojattu]: ~ $ cd remnux
[sähköposti suojattu]: ~ $ mv ... / remux-cli ./
[sähköposti suojattu]: ~ $ chmod + x remnux-cli
// Asenna Remnux
[sähköposti suojattu]: ~ $ sudo install remnux

Käynnistä järjestelmä uudelleen, ja voit käyttää uutta asennettua REMnux distro, joka sisältää kaikki käytettävissä olevat työkalut käänteiseen suunnitteluun.

Toinen hyödyllinen asia REMnux on, että voit käyttää suosittujen kuvien telakointikuvia REMnux työkalut tietyn tehtävän suorittamiseen koko jakelun asentamisen sijaan. Esimerkiksi RetDec työkalua käytetään konekoodin purkamiseen ja se vie syötteitä eri tiedostomuodoissa, kuten 32-bittiset / 62-bittiset exe-tiedostot, tonttu-tiedostot jne. Rekall on toinen hieno työkalu, joka sisältää telakointikuvan, jota voidaan käyttää hyödyllisten tehtävien suorittamiseen, kuten muistitietojen purkamiseen ja tärkeiden tietojen noutamiseen. Tutkimalla epäselvää JavaScriptiä kutsutaan työkalu JSdetox voidaan käyttää myös. Docker-kuvat näistä työkaluista ovat REMnux tietovarasto Docker Hub.

Haittaohjelmien analyysi

Tietovirran arvaamattomuuden tarkistamista kutsutaan Haje. Yhdenmukaisella tavutietovirralla, esimerkiksi kaikilla nollilla tai kaikilla, on 0 Entropiaa. Toisaalta, jos data on salattu tai koostuu vaihtoehtoisista biteistä, sillä on suurempi entropian arvo. Hyvin salatulla datapaketilla on suurempi entropian arvo kuin normaalilla datapaketilla, koska salattujen pakettien bittiarvot ovat arvaamattomia ja muuttuvat nopeammin. Entropian vähimmäisarvo on 0 ja maksimiarvo 8. Entropyn ensisijainen käyttö haittaohjelman analysoinnissa on löytää haittaohjelma suoritettavista tiedostoista. Jos suoritettava tiedosto sisältää haittaohjelmia, se on yleensä salattu kokonaan, jotta virustorjunta ei voi tutkia sen sisältöä. Tämäntyyppisen tiedoston entropiataso on erittäin korkea verrattuna normaaliin tiedostoon, joka lähettää tutkijalle signaalin tiedostossa olevasta epäilyttävästä. Korkea entropia-arvo tarkoittaa suurta datavirran sekoittamista, mikä on selkeä osoitus jostakin hämärästä.

Tämä hyödyllinen työkalu on luotu yhteen tarkoitukseen: haittaohjelmien löytämiseen järjestelmästä. Yleensä hyökkääjät tekevät käärimällä haittaohjelman salattuihin tietoihin (tai koodaamalla / salaten ne), jotta virustorjuntaohjelmisto ei pysty tunnistamaan sitä. Density Scout skannaa määritetyn tiedostojärjestelmän polun ja tulostaa jokaisen polun kaikkien tiedostojen entropia-arvot (alkaen korkeimmasta pienimpään). Korkea arvo tekee tutkijasta epäilyttävän ja hän tutkii asiaa edelleen. Tämä työkalu on saatavana Linux-, Windows- ja Mac-käyttöjärjestelmille. Density Scoutilla on myös ohjevalikko, joka näyttää useita sen tarjoamia vaihtoehtoja seuraavalla syntaksilla:

ubuntu @ ubuntu: ~ densityscout - h

ByteHist on erittäin hyödyllinen työkalu graafin tai histogrammin luomiseen eri tiedostojen tietojen sekoitustason (entropia) mukaan. Se tekee tutkijan työstä vieläkin helpompaa, koska tämä työkalu tekee jopa suoritettavan tiedoston alaosien histogrammit. Tämä tarkoittaa, että nyt tutkija voi helposti keskittyä siihen osaan, jossa epäily esiintyy, vain katsomalla histogrammia. Normaalin näköisen tiedoston histogrammi olisi täysin erilainen kuin haitallinen.

Poikkeavuuksien havaitseminen

Haittaohjelmat voidaan pakata normaalisti käyttämällä erilaisia ​​apuohjelmia, kuten UPX. Nämä apuohjelmat muokkaavat suoritettavien tiedostojen otsikoita. Kun joku yrittää avata näitä tiedostoja virheenkorjaimella, muokatut otsikot kaatavat virheenkorjaimen niin, että tutkijat eivät voi tutkia sitä. Näissä tapauksissa, Poikkeavuuksien havaitseminen työkaluja käytetään.

PE Scanner on hyödyllinen Pythoniin kirjoitettu komentosarja, jota käytetään muiden toimintojen lisäksi havaitsemaan epäilyttävät TLS-merkinnät, virheelliset aikaleimat, epäilyttävän entropiatason osiot, nollapituiset raakakohdat ja exe-tiedostoihin pakatut haittaohjelmat.

Toinen loistava työkalu exe- tai dll-tiedostojen skannaamiseen outoa käyttäytymistä varten on EXE-skannaus. Tämä apuohjelma tarkistaa suoritettavien tiedostojen otsikkokentän epäilyttävien entropiatasojen, nollapituisten raakakokoisten osioiden, tarkistussummien erojen ja kaiken muun tiedostojen epäsäännöllisen toiminnan suhteen. EXE Scanilla on erinomaiset ominaisuudet, se tuottaa yksityiskohtaisen raportin ja automatisoi tehtävät, mikä säästää paljon aikaa.

Hämmentyneet kielet

Hyökkääjät voivat käyttää a siirtymässä menetelmä haitata suoritettavien tiedostojen merkkijonoja. On olemassa tietyntyyppisiä koodauksia, joita voidaan käyttää hämärtymiseen. Esimerkiksi, ROT koodausta käytetään kiertämään kaikkia merkkejä (pienempiä ja isoja aakkosia) tietyllä määrällä kantoja. XOR koodaus käyttää salaista avainta tai salasanaa (vakio) tiedoston koodaamiseen tai XOR: iin. ROL koodaa tiedoston tavut kiertämällä niitä tietyn määrän bittejä. On olemassa useita työkaluja näiden hämmentyneiden merkkijonojen purkamiseksi tietystä tiedostosta.

XORsearch-sovellusta käytetään etsimään tiedostosta sisältöä, joka on koodattu ROT-, XOR- ja ROL-algoritmit. Se raakaa voimaa kaikki yksitavuiset avainarvot. Pidemmille arvoille tämä apuohjelma vie paljon aikaa, minkä vuoksi sinun on määritettävä etsimäsi merkkijono. Joitakin hyödyllisiä merkkijonoja, jotka yleensä löytyvät haittaohjelmista, ovathttp”(URL-osoitteet ovat yleensä piilossa haittaohjelmakoodissa), "Tämä ohjelma" (tiedoston otsikkoa muokataan kirjoittamalla "Tätä ohjelmaa ei voida suorittaa DOS: ssä" monissa tapauksissa). Avaimen löytämisen jälkeen kaikki tavut voidaan purkaa käyttämällä sitä. XORsearch-syntakse on seuraava:

ubuntu @ ubuntu: ~ xorsearch -s
  • ruskeaverikkö

Kun olet löytänyt avaimet käyttämällä ohjelmia, kuten xor-haku, xor-merkkijonot jne., voidaan käyttää hienoa työkalua nimeltä ruskeaverikkö pakottaa kaikki merkkijonotiedostot määrittelemättä tiettyä merkkijonoa. Kun käytät -f vaihtoehto, koko tiedosto voidaan valita. Tiedosto voidaan pakottaa ensin raa'aksi ja puretut merkkijonot kopioidaan toiseen tiedostoon. Sitten, tarkasteltuaan purettuja merkkijonoja, voidaan löytää avain, ja nyt, käyttämällä tätä avainta, voidaan purkaa kaikki kyseisellä avaimella koodatut merkkijonot.

ubuntu @ ubuntu: ~ brutexor.py >> haluat kopioida puretut merkkijonot>
ubuntu @ ubuntu: ~ brutexor.py -f -k

Artefaktien ja arvokkaiden tietojen poiminta (poistettu)

Voit analysoida levykuvia ja kiintolevyjä ja poimia niistä artefakteja ja arvokasta tietoa erilaisilla työkaluilla, kuten Skalpeli, Tärkein, jne., ensin on luotava niistä bitti kerrallaan kuva, jotta tietoja ei menetetä. Näiden kuvakopioiden luomiseen on useita työkaluja.

  • dd

dd käytetään aseman rikosteknisen äänikuvan tekemiseen. Tämä työkalu tarjoaa myös eheystarkistuksen mahdollistamalla kuvan hashien vertaamisen alkuperäiseen levyasemaan. Dd-työkalua voidaan käyttää seuraavasti:

ubuntu @ ubuntu: ~ dd jos = = bs = 512
if = Lähde-asema (esimerkiksi / dev / sda)
/ Kohteen sijainti
bs = Lohkon koko (kopioitavien tavujen määrä kerrallaan)
  • dcfldd

dcfldd on toinen työkalu, jota käytetään levykuvantamiseen. Tämä työkalu on kuin päivitetty versio dd-apuohjelmasta. Se tarjoaa enemmän vaihtoehtoja kuin dd, kuten hajautus kuvantamisen aikana. Voit tutkia dcfldd: n asetuksia seuraavalla komennolla:

ubuntu @ ubuntu: ~ dcfldd -h
Käyttö: dcfldd [OPTION]…
bs = tavut voima ibs = tavut ja obs = tavut
conv = KEYWORDS muuntaa tiedoston pilkuilla erotetun avainsanaluettelon mukaisesti
count = BLOCKS kopioi vain BLOCKS-tulolohkot
ibs = tavut lukevat tavuja kerrallaan
if = TIEDOSTO luettu tiedostosta stdinin sijaan
obs = tavut kirjoittavat tavua tavua kerrallaan
of = FILE, kirjoita tiedostoon FILE vakiotilan sijaan
HUOMAUTUS: of = FILE-tiedostoa voidaan käyttää useita kertoja kirjoittamiseen
tulostaa useita tiedostoja samanaikaisesti
of: = COMMAND exec ja kirjoita ulostulo COMMAND-prosessointiin
skip = BLOKIT ohita BLOCKKS ibs-kokoiset lohkot syötteen alussa
kuvio = HEX käyttää määritettyä binäärikuviota syötteenä
textpattern = TEXT käytä toistoa TEXT syötteenä
errlog = FILE lähettää virheilmoituksia tiedostoon FILE sekä stderr
hash = NIMI joko md5, sha1, sha256, sha384 tai sha512
oletusalgoritmi on md5. Useiden valitseminen
samanaikaisesti suoritettavat algoritmit syöttävät nimet
pilkuilla erotetussa luettelossa
hashlog = FILE lähetä MD5-hash-ulostulo tiedostoon stderr: n sijaan
jos käytät useita hajautusalgoritmeja
voi lähettää kukin erilliseen tiedostoon
yleissopimus esimerkiksi ALGORITHMlog = FILE
md5log = FILE1, sha1log = FILE2 jne.
hashlog: = COMMAND exec ja kirjoita hashlog käsittelemään COMMAND
ALGORITHMlog: = COMMAND toimii myös samalla tavalla
hashconv = [ennen | jälkeen] suorita hajautus ennen konversioita tai niiden jälkeen
hash-muoto = FORMAT näyttää jokaisen hashwindow-muodon FORMAT-mukaisesti
hash-muotoinen minikieli on kuvattu alla
totalhash format = FORMAT näytä koko hash-arvo FORMAT: n mukaisesti
status = [päällä | pois] näyttää jatkuvan tilaviestin stderr: ssä
oletustila on "päällä"
statusinterval = N päivitä tilaviesti joka N lohko
oletusarvo on 256
vf = FILE tarkista, että FILE vastaa määritettyä syötettä
verifylog = FILE lähetä tarkistustulokset tiedostoon FILE stderr: n sijaan
verifylog: = COMMAND exec ja kirjoita tarkista tulokset COMMAND-prosessointia varten
--auttaa näyttämään tämän ohjeen ja poistumaan
--version lähtö versiotiedot ja poistu
  • Tärkein

Ensinnäkin sitä käytetään kaiverramaan tietoja kuvatiedostosta käyttäen tiedostojen veistämiseen tunnettua tekniikkaa. Tiedostojen veistämisen pääpaino on tietojen veistäminen otsikoiden ja alatunnisteiden avulla. Sen määritystiedosto sisältää useita otsikoita, joita käyttäjä voi muokata. Ennen kaikkea puretaan otsikot ja verrataan niitä määritystiedostossa oleviin. Jos se vastaa, se näytetään.

  • Skalpeli

Scalpel on toinen työkalu, jota käytetään tiedonhakuun ja tiedon poimintaan, ja se on suhteellisen nopeaa kuin Foremost. Scalpel tarkastelee estettyä tietojen tallennusaluetta ja aloittaa poistettujen tiedostojen palauttamisen. Ennen tämän työkalun käyttöä tiedostotyyppiriviä ei saa kommentoida poistamalla # halutusta rivistä. Scalpel on saatavana sekä Windows- että Linux-käyttöjärjestelmille, ja sitä pidetään erittäin hyödyllisenä rikostutkinnoissa.

  • Bulk Extractor

Bulk Extractor -sovellusta käytetään ominaisuuksien, kuten sähköpostiosoitteiden, luottokorttien numeroiden, URL-osoitteiden jne. Purkamiseen. Tämä työkalu sisältää monia toimintoja, jotka antavat tehtäville valtavan nopeuden. Osittain vioittuneiden tiedostojen purkamiseen käytetään Bulk Extractoria. Se voi hakea tiedostoja, kuten JPG-, pdf-, Word-asiakirjoja jne. Tämän työkalun toinen ominaisuus on, että se luo histogrammit ja kaaviot palautetuista tiedostotyypeistä, mikä tekee tutkijoille paljon helpompaa tarkastella haluttuja paikkoja tai asiakirjoja.

Analysoidaan PDF-tiedostoja

Täysin korjatun tietokonejärjestelmän ja uusimman virustentorjunnan käyttö ei välttämättä tarkoita, että järjestelmä on turvallinen. Haitallinen koodi voi päästä järjestelmään mistä tahansa, mukaan lukien PDF-tiedostot, haitalliset asiakirjat jne. PDF-tiedosto koostuu yleensä otsikosta, esineistä, ristiviittaustaulukosta (artikkeleiden löytämiseksi) ja perävaunusta. “/ OpenAction” ja “/ AA” (lisätoimi) varmistaa, että sisältö tai toiminta toimii luonnollisesti. "/ Nimet", "/ AcroForm" ja "/Toiminta" voi myös osoittaa ja lähettää sisältöä tai toimintaa. "/ JavaScript" ilmaisee suoritettavan JavaScriptin. "/Mene*" muuttaa näkymän ennalta määritetyksi tavoitteeksi PDF: n sisällä tai toisessa PDF-tietueessa. "/Tuoda markkinoille" lähettää ohjelman tai avaa arkiston. "/ URI" hankkii resurssin URL-osoitteellaan. "/Lähetä lomake" ja ”/ GoToR” voi lähettää tietoja URL-osoitteeseen. "/ RichMedia" voidaan asentaa Flash PDF-muodossa. “/ ObjStm” voi peittää esineitä objektivirran sisällä. Ole tietoinen sekoittumisesta esimerkiksi heksakoodien kanssa, "/ JavaScript" vastaan “/ J # 61vaScript.” Pdf-tiedostoja voidaan tutkia useilla työkaluilla sen selvittämiseksi, sisältävätkö ne haitallista JavaScriptiä vai shell-koodia.

  • pdfid.py

pdfid.py on Python-komentosarja, jota käytetään tietojen hankkimiseen PDF-tiedostosta ja sen otsikoista. Katsotaanpa PDF-tiedoston rennon analysointi pdfid: n avulla:

ubuntu @ ubuntu: ~ python pdfid.py ilkeä.pdf
PDFiD 0.2.1 / home / ubuntu / Desktop / haitallinen.pdf
PDF-otsikko:% PDF-1.7
obj 215
endobj 215
virta 12
loppuvirta 12
xref 2
perävaunu 2
startxref 2
/Sivu 1
/ Salaa 0
/ ObjStm 2
/ JS 0
/ JavaScript 2
/ AA 0
/ OpenAction 0
/ AcroForm 0
/ JBIG2Decode 0
/ RichMedia 0
/ Käynnistä 0
/ EmbeddedFile 0
/ XFA 0
/ Värit> 2 ^ 24 0

Täällä voit nähdä, että PDF-tiedostossa on JavaScript-koodi, jota käytetään useimmiten Adobe Readerin hyödyntämiseen.

  • peepdf

peepdf sisältää kaiken tarvittavan PDF-tiedostojen analysointiin. Tämä työkalu antaa tutkijalle katsauksen koodata ja purkaa virtoja, metatietojen muokkausta, shell-koodia, shell-koodien suorittamista ja haitallista JavaScriptiä. Peepdf on allekirjoittanut monia haavoittuvuuksia. Käyttäessään sitä haitallisella pdf-tiedostolla peepdf paljastaa kaikki tunnetut haavoittuvuudet. Peepdf on Python-komentosarja, ja se tarjoaa useita vaihtoehtoja PDF-tiedoston analysointiin. Haitalliset koodaajat käyttävät Peepdf-tiedostoa myös pakkaamaan PDF-tiedoston haittaohjelmalla, joka suoritetaan avattaessa PDF-tiedosto. Shellcode-analyysi, haitallisen sisällön poiminta, vanhojen dokumenttiversioiden purkaminen, objektin muokkaus ja suodattimen muokkaaminen ovat vain joitain tämän työkalun monipuolisista ominaisuuksista.

ubuntu @ ubuntu: ~ python peepdf.py ilkeä.pdf
Tiedosto: haitallinen.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Koko: 263069 tavua
Versio: 1.7
Binaarinen: Totta
Lineaarisoitu: väärä
Salattu: väärä
Päivitykset: 1
Esineet: 1038
Suoratoistot: 12
URI: t 156
Kommentit: 0
Virheet: 2
Virrat (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Xref-virrat (1): [1038]
Kohdevirrat (2): [204, 705]
Koodattu (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Objektit, joilla on URI (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Epäilyttävät elementit: / Nimet (1): [200]

Käki hiekkalaatikko

Hiekkalaatikkoa käytetään testaamaan testaamattomien tai epäluotettavien ohjelmien käyttäytymistä turvallisessa, realistisessa ympäristössä. Kun olet asettanut tiedoston Käki hiekkalaatikko, muutamassa minuutissa tämä työkalu paljastaa kaikki asiaankuuluvat tiedot ja käyttäytymisen. Malwares ovat hyökkääjien ja Käki on paras mahdollinen puolustus. Nykyään pelkkä tieto siitä, että haittaohjelma tulee järjestelmään ja sen poistaminen, ei riitä, ja hyvän tietoturva-analyytikon on analysoitava ja tarkasteltava ohjelman käyttäytymistä selvittääkseen vaikutus käyttöjärjestelmään, sen koko kontekstiin ja päätavoitteisiin.

Asennus

Käki voidaan asentaa Windows-, Mac- tai Linux-käyttöjärjestelmiin lataamalla tämä työkalu virallisen verkkosivuston kautta: https: // cuckoosandbox.org /

Jotta Käki toimisi sujuvasti, on asennettava muutama Python-moduuli ja kirjasto. Tämä voidaan tehdä seuraavilla komennoilla:

ubuntu @ ubuntu: ~ sudo apt-get install python python-pip
python-dev mongodb postgresql libpq-dev

Käki voi näyttää tuotoksen, joka paljastaa ohjelman käyttäytymisen verkossa, vaatii tcpdumpin kaltaisen pakettinipurin, joka voidaan asentaa seuraavalla komennolla:

ubuntu @ ubuntu: ~ sudo apt-get install tcpdump

Jos haluat antaa Python-ohjelmoijalle SSL-toiminnon asiakkaiden ja palvelimien toteuttamiseen, m2crypto voidaan käyttää:

ubuntu @ ubuntu: ~ sudo apt-get install m2crypto

Käyttö

Käki analysoi erilaisia ​​tiedostotyyppejä, kuten PDF-tiedostoja, Word-asiakirjoja, suoritettavia tiedostoja jne. Uusimmalla versiolla jopa verkkosivustot voidaan analysoida tällä työkalulla. Käki voi myös pudottaa verkkoliikenteen tai reitittää sen VPN: n kautta. Tämä työkalu jopa kaataa verkkoliikenteen tai SSL-yhteensopivan verkkoliikenteen, ja se voidaan analysoida uudelleen. PHP-komentosarjat, URL-osoitteet, HTML-tiedostot, Visual Basic -skriptit, zip-, dll-tiedostot ja melkein minkä tahansa muun tyyppiset tiedostot voidaan analysoida Cuckoo Sandboxilla.

Käyttääksesi Käkeä, sinun on lähetettävä näyte ja analysoitava sen vaikutus ja käyttäytyminen.

Lähetä binääritiedostot seuraavalla komennolla:

# käki lähettää

Lähetä URL-osoite käyttämällä seuraavaa komentoa:

# käki lähettää

Aseta aikakatkaisu analyysille seuraavalla komennolla:

# käki lähettää aikakatkaisun = 60s

Jos haluat asettaa korkeamman ominaisuuden tietylle binäärille, käytä seuraavaa komentoa:

# käki lähettää - etusija 5

Käken perussyntaksi on seuraava:

# käki lähetä --paketti exe --options argumentit = dosometask

Kun analyysi on valmis, hakemistossa näkyy useita tiedostoja "CWD / varastointi / analyysi" joka sisältää toimitettujen näytteiden analyysitulokset. Tässä hakemistossa olevat tiedostot sisältävät seuraavat:

  • Analyysi.Hirsi: Sisältää prosessin tulokset analyysin aikana, kuten ajonaikaiset virheet, tiedostojen luominen jne.
  • Muisti.kaatopaikka: Sisältää koko muistin dump-analyysin.
  • Kaataa.pcap: Sisältää tcpdumpin luoman verkon dumpin.
  • Tiedostot: Sisältää kaikki tiedostot, joissa haittaohjelma työskenteli tai joihin se vaikutti.
  • Dump_sorted.pcap: Sisältää helposti ymmärrettävän kaatopaikan.pcap-tiedosto TCP-virran etsimiseen.
  • Lokit: Sisältää kaikki luodut lokit.
  • Laukaukset: Sisältää tilannekuvia työpöydältä haittaohjelmien käsittelyn aikana tai aikana, jolloin haittaohjelma oli käynnissä Käki-järjestelmässä.
  • Tlsmaster.txt: Sisältää TLS-pääsalaisuuksia, jotka on saatu haittaohjelman suorittamisen aikana.

Johtopäätös

Yleisesti katsotaan, että Linux ei ole viruksia, tai että haittaohjelmien saanti tälle käyttöjärjestelmälle on hyvin harvinaista. Yli puolet verkkopalvelimista on Linux- tai Unix-pohjaisia. Koska verkkosivustoja ja muuta Internet-liikennettä palvelevat niin monet Linux-järjestelmät, hyökkääjät näkevät suuren hyökkäysvektorin Linux-järjestelmien haittaohjelmissa. Joten edes päivittäinen virustorjuntaohjelmien käyttö ei riitä. Haittaohjelmien uhilta suojautumiseen on tarjolla monia virustorjunta- ja päätepisteturvaratkaisuja. Mutta analysoida haittaohjelma manuaalisesti, REMnux ja Cuckoo Sandbox ovat parhaita käytettävissä olevia vaihtoehtoja. REMnux tarjoaa laajan valikoiman työkaluja kevyessä, helposti asennettavassa jakelujärjestelmässä, mikä olisi hyvä kaikille rikostutkijoille tutkia kaikenlaisia ​​haittaohjelmia haittaohjelmille. Joitakin erittäin hyödyllisiä työkaluja on jo kuvattu yksityiskohtaisesti, mutta se ei ole kaikki REMnuxilla, se on vain jäävuoren huippu. Jotkut REMnux-jakelujärjestelmän hyödyllisimmistä työkaluista ovat seuraavat:

Epäilyttävän, epäluotettavan tai kolmannen osapuolen ohjelman käyttäytymisen ymmärtämiseksi tätä työkalua on käytettävä suojatussa, realistisessa ympäristössä, kuten Käki hiekkalaatikko, jotta isäntäkäyttöjärjestelmälle ei voi aiheutua vahinkoa.

Verkko-ohjainten ja järjestelmän karkaisutekniikoiden käyttäminen antaa järjestelmälle ylimääräisen suojaustason. Tapahtumiin reagoimista tai digitaalisen rikosteknisen tutkinnan tekniikoita on myös päivitettävä säännöllisesti, jotta voit ylittää järjestelmään kohdistuvat haittaohjelmat.

Kuinka käyttää AutoKey-toimintoa Linux-pelien automatisointiin
AutoKey on työpöydän automaatioapuohjelma Linuxille ja X11: lle, ohjelmoitu Python 3, GTK ja Qt. Komentosarjojen ja MACRO-toimintojen avulla voit auto...
Kuinka näyttää FPS-laskuri Linux-peleissä
Linux-pelaaminen sai suuren työn, kun Valve ilmoitti Linux-tuesta Steam-asiakkaalle ja heidän peleilleen vuonna 2012. Siitä lähtien monet AAA- ja indi...
How to download and Play Sid Meier's Civilization VI on Linux
Introduction to the game Civilization 6 is a modern take on the classic concept introduced in the series of the Age of Empires games. The idea was fai...