Érdekel a malware-elemzés? Így kezdhetsz neki biztonságosan, avagy Sandbox a lelke mindennek

 

Sokak számára lehet érdekes hivatás vagy hobbi a malware elemzés, hiszen ez egy folyamatosan fejlődő, kihívásokkal teli szegmense az IT biztonságnak. Ugyanakkor lássuk be, korántsem kockázatmentes, hiszen fennállhat a veszélye, hogy saját eszközeinket is megfertőzzük egy-egy analízis során. Amennyiben Te is kacérkodsz a rosszindulatú programok elemzésének gondolatával, de nem tudod, hogyan vágj bele, a következők segítségül szolgálhatnak, hogy biztonságban tarthasd eszközeidet a vizsgálatok alatt is.

Sandbox a kulcs mindenhez!

Mindenek előtt szükségünk lesz egy teljesen elszeparált környezetre, ahol, ha szabadjára engedjük a káros programot, sem fog hozzáférni, és így károkat okozni a hálózatunkban, rendszerkomponenseinkben, valamint fájljainkban és adatainkban. Sandbox környezetet kétféle képen is létrehozhatunk, ám előtte érdemes végiggondolni, hogy mit és hogyan szeretnénk vizsgálni.

  • Több neves IT biztonsági cég is biztosít ún. kulcsrakész megoldásokat, amelyek előnye, hogy a széleskörű konfigurációs lehetőségekkel az igényekhez igazíthatóak a szolgáltatások. Mielőtt letesszük a voksunkat egy ilyen termék mellett, érdemes utánajárni az egyes szoftverek funkcióinak, és megismerni mások véleményét is például, hogy milyen vizsgálatok elvégzésére képes a program, milyen könnyen használható és konfigurálható, a kinyert információk milyen könnyen olvashatók és értelmezhetők, stb.
  • Másik megoldás, ha egyedi sandboxot hozunk létre a nulláról, amelynek lépéseit a következők alapján tudjuk végrehajtani:

 

  1. Szükségünk lesz virtuális gépre – Az is kitűnő, ha van egy teljesen mindentől elszigetelt számítógépünk, azonban egyszerűbb ─ és talán költséghatékonyabb ─ egy virtuális gép létrehozása, amelyre érdemes több operációs rendszer, különböző verzióját is beszerezni. A piacon több gyártó terméke is elérhető, például: VMWare, Oracle VM VirtualBox, KVM, Microsoft Hyper-V, stb.
  2. Elemzés előtt ellenőrizzük a malware-t! – A rosszindulatú programok egyre okosabban rejtőzködnek a védelmi megoldások elől, így sokan közülük már felismerik, hogy milyen környezetben, rendszeren kerülnek betöltésre, ezért érdemes egy ellenőrzést végezni (assembly szinten megismerni a malware működését), és kiszedni a malware kódjából azokat a kódrészeket, amelyek ezért felelősek. Erre azért van szükség, mert egyes káros programok úgy vannak konfigurálva, hogy ha teszt, vagy elemző környezetet észlelnek, leállnak a működéssel.
  3. Nem árt egy másik hálózati környezet sem – Annak érdekében, hogy még véletlenül se fertőzhessük meg a hálózaton lévő más eszközöket, javasolt egy másik hálózati rendszer kialakítása a vizsgálatokhoz, amikhez VPN szolgáltatás használata is ajánlott.
  4. Nem mindegy mennyi erőforrást szánunk a környezetre – A 2. pontban említett okok miatt ahhoz, hogy valódi, éles környezetnek tűnjön a rendszerünk biztosítanunk kell az alapvető rendszerkövetelményeket, ügyeljünk a processzormagok számára (min. 4), a RAM (több mint 4 Gb) és lemezterület (legalább 100 Gb) méretére stb.
  5. Telepítsünk gyakran használt szoftvereket! – Ezzel nem csupán azt érhetjük el, hogy elhitetjük a malware-ral, hogy valódi célpontot talált, hanem alaposabban is megfigyelhetjük a működését. Windows-os rendszer esetén például érdemes telepíteni Office-t, népszerű böngészőket stb.
  6. Elemzés előtt használjuk a környezetet! – A malware-ek sok esetben ellenőrzik a naplófájlokat és a rendszer log-okat, így – hogy ne derüljön ki a környezet valódi mivolta – nyissunk meg néhány dokumentumot stb.
  7. Imintáljunk hálózati forgalmat is! – Léteznek erre különböző segédprogramok, mint az INetSim és a FakeNet, amelyekkel elfoghatók és megfigyelhetők – például a hálózati protokollok –  a malware által küldött kérések. Emellett a WhireSharkkal elemezhetjük a hálózati kommunikációt, kideríthetjük, hogy milyen szerverhez kapcsolódik az elemzett minta stb. (Megjegyzés: Ezen lépés alatt különösen fordítsunk figyelmet arra, hogy a malware ne fertőzhesse meg az eszközünket!)
  8. Gyűjtsük be az elemzőeszközöket! – Készítsük fel magunkat az elemzésre, és telepítsük az ehhez szükséges szoftvereket, például hibakeresőket, disassembler-eket (a gépi kódot assembly nyelvre fordítják), hálózati forgalomelemzőket, fájlelemzőket, monitoring eszközöket stb. A vizsgálat előtt érdemes utána olvasni azok működéseiről és használatukról.
  9. Legyen naprakész a rendszerünk! – Ez különösen az elemző szoftverekre vonatkozik, hiszen előfordulhat, hogy az egyes vizsgálathoz régebbi operációs rendszerre van szükségünk, viszont mivel a káros programok folyamatosan fejlődnek az elmező szoftvereknek is naprakésznek kell lenniük.
  10. Csak és kizárólag az elemző környezetben, kapcsoljuk ki a védelmi megoldásokat! – Nehéz lenne elemezni a káros programokat, ha például megfogná azokat a Windows Defender, vagy a vírusirtó szoftverünk.
  11. Készítsük fel a fájlokat az elemzésre! – Készítsünk biztonsági mentéseket és snapshot-okat, mielőtt felmásoljuk a fájlrendszerre a káros mintát, hogy egy esetleges hiba esetén vissza tudjuk állítani a virtuális gépünk egy korábbi állapotát! A visszaállítást az elemzés befejeztével is érdemes elvégezni kivétel, ha azt vizsgáljuk, hogy miként viselkedik a káros program egy már fertőzött rendszeren.

Amennyiben számodra már ismertek voltak a fent leírtak és magabiztosan használod is ezeket a megoldásokat, ne habozz és jelentkezz hozzánk Biztonsági elemzőnek! J

Forrás: (thehackernews.com)