ANALÝZA MALWARE V PAMĚTI POČÍTAČE. Vašek Lorenc

Podobné dokumenty
Analýza malware v paměti počítače. Vašek Lorenc

IT ESS II. 1. Operating Systém Fundamentals

1.2 Operační systémy, aplikace

ČÁST 1. Základy 32bitového programování ve Windows

monolitická vrstvená virtuální počítač / stroj modulární struktura Klient server struktura

Instalace OS, nastavení systému

Operační systémy (OS)

Operační systémy: funkce

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Základy informatiky. Operační systémy

Acronis. Lukáš Valenta

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Windows 2008 R2 - úvod. Lumír Návrat

Programové vybavení počítačů operační systémy

Nové jazykové brány do Caché. Daniel Kutáč

PB169 Operační systémy a sítě

ProjectWise V8 XM Edition

MS WINDOWS I. řada operačních systémů firmy Microsoft *1985 -? Historie. Práce ve Windows XP. Architektura. Instalace. Spouštění

Obsah. O autorech 9 Earle Castledine 9 Myles Eftos 9 Max Wheeler 9 Odborný korektor 10. Předmluva 11 Komu je kniha určena 12 Co se v knize dočtete 12

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian

Registrační číslo projektu: CZ.1.07/1.5.00/ Název projektu: Moderní škola 21. století. Zařazení materiálu: Ověření materiálu ve výuce:

Platforma x64 a přechod na 64 bitů. Aleš Keprt Univerzita Palackého, Olomouc

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura IBM Corporation

VirtualBox desktopová virtualizace. Zdeněk Merta

Chyby v prohlížečích, které v nich byly klidně deset let. Jiří Nápravník

CDS Invenio v NTK. V NTK využíváme CDS Invenio pro repozitář šedé literatury v rámci projektu NUŠL

Základní typy struktur výpočetních systémů

úvod Historie operačních systémů

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) / Mac OS X 10.5, 10.6 / Linux (RPM, DEB) Stručná příručka

Pohledem managementu firmy.

Compatibility List. GORDIC spol. s r. o. Verze

Evidence majetku a Windows 8

FLAB. Ransomware PČR. zaplaťte a bude vám odpuštěno. Aleš Padrta. Karel Nykles , Seminář CIV, Plzeň

Stavba operačního systému

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant

Přednáška. Vstup/Výstup. Katedra počítačových systémů FIT, České vysoké učení technické v Praze Jan Trdlička, 2012

MS Windows 7. Milan Myšák. Příručka ke kurzu. Milan Myšák

Souborový systém (File System FS) Souborové systémy. Souborová fragmentace. Disková fragmentace. Organizace dat na pevném disku

SPECIFICKÉ IT KURZY Windows XP na Seven Office 2003 na Office nebo Office 365

Implementace systémů HIPS: historie a současnost. Martin Dráb

LINUX - INSTALACE & KONFIGURACE

Definice OS. Operační systém je základní programové vybavení počítače, nezbytné pro jeho provoz.

TRAPS PRVNÍ SKUTEČNĚ FUNGUJÍCÍ OCHRANA PRO DESKTOPY A SERVERY

Operační systémy 1. Přednáška číslo Souborové systémy

Obsah. Kapitola 1. Kapitola 2. Pár slov úvodem 11 Co se v knize dozvíte 13

Matematika v programovacích

Pár odpovědí jsem nenašla nikde, a tak jsem je logicky odvodila, a nebo jsem ponechala odpověď z pefky, proto je možné, že někde bude chyba.

SOFTWARE - programové vybavení počítače (nemůžeme si na něj sáhnout) Bez SW nemůže PC fungovat. Schéma počítače:

Kaspersky ONE. univerzální zabezpečení. Ochrana různých zařízení

Praha, Martin Beran

S ovladačem do jádra! Martin Dráb

Software programové vybavení. 1. část

Vzdálený přístup k počítačům

Profilová část maturitní zkoušky 2015/2016

AIDA64 Extreme. Příručka k nastavení. v

Informační Systém pro Psychiatrii HIPPO

Operační systémy Oldřich Trenz

Téma 8: Konfigurace počítačů se systémem Windows 7 IV

Integrovaná střední škola, Sokolnice 496

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Základní zabezpečení. Ing. Radomír Orkáč , Ostrava.

Profilová část maturitní zkoušky 2014/2015

Úvod Seznámení s předmětem Co je.net Vlastnosti.NET Konec. Programování v C# Úvodní slovo 1 / 25

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Karel Bittner HUMUSOFT s.r.o. HUMUSOFT s.r.o.

Projekt Datové schránky

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Výpočetní technika

OPERAČNÍ SYSTÉM. základní ovládání. Mgr. Jan Veverka Střední odborná škola sociální obor ošetřovatel

1. Jak pracuje počítač 3. Už víme, jak pracuje počítač, ale jak se pracuje s počítačem? 9

SÁM O SOBĚ DOKÁŽE POČÍTAČ DĚLAT JEN O MÁLO VÍC NEŽ TO, ŽE PO ZAPNUTÍ, PODOBNĚ JAKO KOJENEC PO PROBUZENÍ, CHCE JÍST.

OFFICE 365 popis služeb

Operační systémy 2. Přednáška číslo 2. Přidělování paměti

2. Nízké systémové nároky

POŽADAVKY NA INSTALACI

Logická organizace paměti Josef Horálek

Porovnání rychlosti mapového serveru GeoServer při přístupu k různým datovým skladům

Šifrování flash a jiných datových úložišť

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Zabezpečení mobilních bankovnictví

Ceník. Hardwarové práce - Notebooky

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Ukazky Zdroje:... 17

TC-502L TC-60xL. Tenký klient

Přednáška 2. Systémy souborů OS UNIX. Nástroje pro práci se souborovým systémem. Úvod do Operačních Systémů Přednáška 2

italc Intelligent Teaching And Learning with Computers Setkání učitelů používajících open source Daniel Krhánek

Současný svět Projekt č. CZ.2.17/3.1.00/32038, podpořený Evropským sociálním fondem v rámci Operačního programu Praha adaptabilita

SOFTWARE. Programové vybavení počítače

Software. Mgr. Krejčí Jan (UJEP) Software 23. října / 6

INFORMATIKA (INF1X, INF2X)

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Hlavní rysy produktu MapInfo Professional

FREEWAROVÉ ŘEŠENÍ DICOM SERVERU S NÍZKÝMI NÁROKY NA HARDWAROVÉ VYBAVENÍ

Česká pošta, s.p. na Linuxu. Pavel Janík open source konzultant

Transkript:

ANALÝZA MALWARE V PAMĚTI POČÍTAČE Vašek Lorenc

DOPORUČENÝ SOFTWARE Oracle VirtualBox plus dostatek místa na disku (cca 12 GB) Volatility Framework Mandiant Redline Unixové utility strings, foremost Textový editor na poznámky Nástroje na analýzu dokumentů, JS,...

PRŮBĚH LABÁKU Úvod do problematiky Nebude to o assembleru Ani o (de)obfuskaci malware Hledání podivností v systému Malware, rootkity, Windows Jednoduchá forenzní analýza Nácvik hledání zdroje infekce To vše na příkladech (funkční malware)!

ANKETA! Setkali jste se někdy s napadeným počítačem/serverem? Zdrojem nákazy byl: Obecný malware Malware/kód cílený na vaši organizaci Phishing/dokument Zranitelnost serveru/aplikace USB virus...

A JEDNA OTÁZKA... Jak dlouho zhruba trvá, než denně aktualizovaný antivirus najde virus/exploit, kterým byl počítač infikován? okamžitá detekce, žádné čekání! 1 den 2 dny týden měsíc

PROČ ANALYZOVAT PAMĚŤ? Je to zábava! Součást zajištění důkazů při vyšetřování Změna proti dřívějším doporučením a postupům Incident Response Možnost sledovat chování útočníků, jejich nástroje,... Technické zjednodušení problému reverzní analýzy Není třeba umět assembler a chápat anti-re triky Často mnohem rychlejší nalazení důležitých indikátorů

JAK ZÍSKAT OBRAZ PAMĚTI? Přímý přístup k HW windd, fastdump, memoryze,... obraz hybernovaného systému (hiberfil.sys) Vzdálený přístup Encase, Mandiant Intelligent Response, Access Data FTK,... VMWare, VirtualBox,... často jednoduchá možnost získání paměti VirtualBox --dbg --startvm MalwareVM (a následně.pgmphystofile) Komplikace nepodporovaný OS (Linux, MacOS; 32bit/64bit) swap

VOLATILITY FRAMEWORK Open Source nástroj GPL licence Psaný v Pythonu dostupný pro všechny možné platformy možnosti automatizace, pluginy,... Umožňuje analyzovat paměť mnoha systémů Windows, Linux, MacOS, Android 32/64-bitové varianty Příkazová řádka Spousta příkladů, oficiální školení, velmi populární,...

MANDIANT REDLINE Volně dostupný Nikoliv open source Pouze pod Windows (.NET) Sympatické uživatelské rozhraní Dobře použitelné workflow Snadné vyhledávání, timeline, řetězce Hodnotící systém procesů (míra podezřelosti) Nevýhody Analýza pouze Windows OS, horší detekce datových struktur Není součástí dnešního labáku :(

HBGARY RESPONDER PRO Velmi obtížná dostupnost placená verze + community-edition s obtížnou aktivací Pouze pro Windows (.NET) Horší stabilita Výborný nástroj pro analytiky vizuální debugger, Canvas Digital DNA výborný systém hodnocení rizik Možnost analyzovat i přímo binárky Není součástí dnešního labáku :(

Responder Pro: DDNA

Responder Pro: DDNA

Responder Pro: Canvas

CO BUDEME HLEDAT? Komunikaci s C&C/RAT Skryté procesy Process/DLL injection Nestandardní/známé umístění binárek Nestandardní/známé mutexy Otevřené soubory/sockety Záznamy v registrech Historii příkazového řádku Klíče,...

DOPORUČENÝ POSTUP ANALÝZY Používejte Internet (Google, VirusTotal,...) Nezapomeňte si dělat poznámky! Co analyzujeme za systém (OS, verze, bitness) Síťová spojení (+ whois, atd.) Procesy (skryté, viditelné, podivné názvy, časy spuštění a ukončení,...) Mutexy (+ soubory) Řetězce (URI, %s, %d, domény, jména procesů, user-agent, )... Závěrečný report

VOLATILITY FRAMEWORK Nápověda vol.py h / vol.py plugin h / vol.py příkaz --info Informace o souboru s pamětí počítače vol.py f image.file imageinfo Příklad volání jednotlivých modulů Volatility vol.py -f image.file --profile=profile příkaz export VOLATILITY_LOCATION=image.file export VOLATILITY_PROFILE=WinXPSP3x86

VOLATILITY FRAMEWORK PŘÍKAZY psxview (vyhledávání skrytých procesů) apihooks driverscan ssdt / driverirp / idt connections / connscan (WinXP, seznam otevřených spojení) netscan (Win7, vyhledávání otevřených síťových spojení/socketů) pslist / psscan (výpis procesů získaných přes WinAPI vs. přes EPROCESS bloky) malfind / ldrmodules (hledání vloženého kódu + dump / detekce DLL) hivelist (nalezení a vypsání složek s registry) / hashdump handles / dlllist / filescan (seznam souborů / DLL files / FILE_OBJECT handles) cmdscan / consoles (historie cmd.exe / console buffer) shimcache (application compatibility info) memdump / procmemdump / procexedump

ANALÝZA: XP-INFECTED.VMEM Doporučené nástroje Redline, Volatility

ANALÝZA: ZEUS.VMEM Doporučené nástroje Redline, Volatility

ANALÝZA: ZEUS2X4.VMEM Doporučené nástroje Redline, Volatility

FORENZNÍ ANALÝZA OPERAČNÍ PAMĚTI? Foremost Nástroj na získávání souborů známých typů z obrazů disku/paměti Strings Řetězce v paměti mohou být uloženy v různých kódováních (UTF-8, UTF-16)

ANALÝZA: BOB.VMEM Doporučené nástroje Redline, Volatility, Foremost, Strings

ANALÝZA: HOMEWORK.VMEM Doporučené nástroje Redline, Volatility, Foremost, Strings

ODKAZY, OTÁZKY, ODPOVĚDI... Zajímavé zdroje čtení kolem (analýzy) malware http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2680 http://contagiodump.blogspot.com/ Twitter!

Děkuji za účast i za vaši pozornost! email: vaclav.lorenc@gmail.com twitter: @valorcz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář