How to pwn the h4xx0rs
Ein Guide zum Zerlegen und Ausnutzen von Schadsoftware.
Teil 1: Wir rüsten auf!
1. Wir bereiten ein System zum freiwilligen befall vor
Wir haben hierzu 2 möglichkeiten.
Wir nehmen einen ausgedienten alten Rechner (der Vorteil darin ist, dass gewisse „Antis“ nicht anspringen können), oder eine Virtuelle Maschiene.
Ich werde hierfür Virtual Box benutzen.
Vorteile gegenüber einem Pc:
* Bessere Dokumentation inkl Screenshots
* Wir können schnell ein neues System aufspielen
* Wir können mehrere Systeme auf einmal laufen lassen
Als Betriebssystem empfehle ich Windows XP. Wir installieren kein Antivirenprogramm, keine Firewall und werden es auch nicht Updaten. (Also genau das tun, wovon jeder Computer Techniker einen Herzkasper bekommt, wenn ein Kunde kommt und der Pc auf einmal kaputt war)
2. Wir rüsten uns mit Virtuellen Waffen
Das wichtigste beim Analysieren von Malware ist neben Logischen (bösem) Denken, natürlich die Software.
Es kann natürlich auch andere Software benutzt werden, als beschrieben. Es dient nur als Veranschaulichung.
Prozess Überwachung:
Prozess Hacker
Der Normale Windows Task Manager ist oft nicht ausreichend, um änderungen festzustellen. Desshalb verweden wir den Prozess Hacker
Registry und File System Überwachung:
Dieses Tool benötigen wir um besser nachzuvollziehen wo sich die Schadsoftware iengräbt und wie sie sich in unserem System Verhält.
Capture Bat
Netzwerk Überwachung:
Um zu schaun wohin die Malware Telefoniert benutzen wir Wireshark das uns den Traffic mitschneidet, inklusive Up, Downloads und DNS resolution requests.
Veränderungen im System:
Um zu sehen welche Veränderungen nach der Infection durchgeführt wurden benutzen wir Regshot.
Das sollte uns einen Überblick über das Verhalten der Schadsoftware auf unserer Maschiene verschaffen. Wir gehen jetzt ein Stückchen weiter, wir wollen einmal schauen wie die Software tickt.
3. Die Autopsie
Wir wollen natürlich auch unter die Haube schauen, um uns einen teiferen einblick in die Materie zu verschaffen.
Dazu benötigen wir:
Disassembler und Debugger:
2 Große Namen für diesen job. IDA Pro und OllyDBG.
Was können wir damit anstellen?
Wir können uns den Intel x86 maschienencode der Software anschaun und Stück für Stück ablaufen lassen.
Memory Dumper:
Für diesen Job kommt bei mir nur LordPE auf die Maschiene.
Sehr nützlich wenn packer verwendet wurden.
4. Online Analyse
Die hier gelisteten Anbieter Analysieren das Verhalten der hochgeladenen Exe Datei. Dies kann sehr praktisch sein, wenn wir uns noch eine andere „Meinung“ einholen wollen.
* Anubis –> http://anubis.iseclab.org/
* Threat Expert –> http://www.threatexpert.com/submit.aspx
* Joe Sandbox –> http://www.joesecurity.org/
Damit beende ich den ersten Teil dieser Serie.
Wenn euch das Thema interessiert werde ich mit Teil 2 weiter machen.
Quelle: http://just-new.in
Downloads :
http://www.chip.de/downloads/Process-Hacker_43794013.html
http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip
http://www.chip.de/downloads/Regshot_31676147.html
http://homepages.mcs.vuw.ac.nz/~cseifert/Capture-BAT/CaptureBAT-Setup-2.0.0-5574.exe
