Η ανάλυση των κακόβουλων λογισμικών είναι μια πολύ σημαντική διαδικασία για τους κατασκευαστές προγραμμάτων ασφάλειας πληροφοριακών συστημάτων. Κατά τη διαδικασία αυτή παράγουν υπογραφές των ηλεκτρονικών ιών με σκοπό να τους αναγνωρίζουν στις σαρώσεις των υπολογιστών που διαθέτουν οι χρήστες.
Μερικά χρήσιμα εργαλεία που κάνουν αυτή τη δουλειά είναι τα εξής:
Regshot: το εργαλείο αυτό, όπως δηλώνει και το όνομά του, παίρνει ένα στιγμιότυπο από το μητρώο (registry) του υπολογιστή. Στην ουσία προσφέρει μια εικόνα για το πώς είναι το μητρώο τη δεδομένη χρονική στιγμή.
Με βάση τη συγκεκριμένη εικόνα, μπορείτε να εκτελέσετε ένα ύποπτο εκτελέσιμο αρχείο και να πάρετε στη συνέχεια ένα δεύτερο στιγμιότυπο του μητρώου.
Έχοντας στη διάθεσή σας τα δύο στιγμιότυπα, μπορείτε να χρησιμοποιήσετε τη λειτουργία σύγκρισης του Regshot και να διαπιστώσετε ποια κλειδιά προστέθηκαν, ποια τροποποιήθηκαν ή διαγράφηκαν. Επιπλέον έχει τη δυνατότητα να εξάγει τα αποτελέσματα σε αρχείο κειμένου ή σε HTML.
Regmon: και το εργαλείο αυτό χρησιμοποιεί το μητρώο του συστήματος. Έχει τη δυνατότητα να αναλύει σε πραγματικό χρόνο τα κλειδιά ( και την τοποθεσία τους ) που «τρέχουν» και προσπελαύνουν τη δεδομένη στιγμή οι διεργασίες.
Σας επιτρέπει να ενημερώνεστε για το αν μια διεργασία εκτελεί πληροφοριακές ερωτήσεις, αν δημιουργεί νέα κλειδιά, αν αναθέτει τιμές, κλπ. Κατά συνέπεια, λίγο πριν εκτελέσετε κάποιο κακόβουλο λογισμικό μπορείτε να βάλετε σε λειτουργία το Regmon στο παρασκήνιο, για να καταγράφει τις πληροφορίες.
Μετά την εκτέλεση του προγράμματος μπορείτε να σταματήσετε την καταγραφή του Regmon και να προβάλετε την ανάλυση που έκανε. Διαθέτει επιλογή για να φιλτράρετε τα δεδομένα και να απομονώσετε τις αλλαγές και τη δραστηριότητα του συγκεκριμένου αρχείου που σας ενδιαφέρει.
Filemon: ο τρόπος με τον οποίο λειτουργεί το εργαλείο αυτό είναι παρόμοιος με του Regmon, αλλά για αρχεία. Παρακολουθεί τις διεργασίες που έχουν πρόσβαση σε αρχεία του δίσκου και καταγράφει τις ενέργειές τους ( ανάγνωση, εγγραφή, ερώτηση, διαγραφή, κλπ. ) και αν έγιναν με επιτυχία.
Όπως και με το Regmon, λίγο πριν εκτελέσετε το κακόβουλο πρόγραμμα, μπορείτε να τρέχετε στο παρασκήνιο το Filemon για να καταγράψει τις πληροφορίες. Μετά την εκτέλεσή του, μπορείτε να σταματήσετε το Filemon και να παράγετε την ανάλυση.
Netstat και tasklist: Πριν την εκτέλεση του κακόβουλου λογισμικού, θα πρέπει να έχουμε μια αρχική ιδέα για το πώς λειτουργεί το σύστημα, καθώς είναι ζωτικής σημασίας. Για το λόγο αυτό “τρέχουμε” το tasklist να δούμε ποιες διαδικασίες “τρέχουν” και το netstat για το ποιες θύρες είναι ανοικτές.
Μετά την εκτέλεση του κακόβουλου λογισμικού παρατηρούμε τις αλλαγές που έχουν προκύψει ανακαλύπτοντας έτσι την δράση του.
Debugger, Ollydbg: Για να προχωρήσουμε σε βάθος ανάλυση των κακόβουλων λογισμικών θα πρέπει να χρησιμοποιήσουμε ένα πρόγραμμα εντοπισμού σφαλμάτων ( debugger ) για τα system opcodes και system calls.
Τα προγράμματα εντοπισμού σφαλμάτων είναι δύσκολα στην χρήση τους αλλά πολύ χρήσιμα στην ανάλυση των κακόβουλων λογισμικών, για το λόγο αυτό προτείνουμε τον Ollydbg και IDA pro που είναι αξιόπιστα και λειτουργικά.
Εικονικό περιβάλλον: Για την αποφυγή του κινδύνου μόλυνσης του συστήματός μας και μιας ενδεχόμενης καταστροφής των Windows είναι προτιμότερο να εκτελέσουμε τις περισσότερες, αν όχι όλες, τις διαδικασίες ανάλυσης του κακόβουλου λογισμικού σε ένα εικονικό περιβάλλον ( virtual environment ).
Οι εικονικές μηχανές μας προσφέρουν έναν μηχανισμό όπου μπορούμε να επαναφέρουμε το σύστημα σε προγενέστερη κατάσταση, δηλαδή λίγο πριν την χρήση του κακόβουλου λογισμικού. Υπάρχουν αρκετές επιλογές διαθέσιμες για virtualization, αλλά εμείς προτείνουμε την τεχνολογία Virtualbox.
PE εργαλεία: Πολλές φορές αρκετά κακόβουλα λογισμικά πακετάρονται με εργαλεία όπως το UPX. Με την τεχνική αυτή δημιουργούν ένα εικονικά ασφαλές .exe αρχείο που στο εσωτερικό του έχει ένα άλλο, το κακόβουλο .exe αρχείο.
Για να αποφύγουμε την εκτέλεση ενός τέτοιου λογισμικού θα πρέπει να χρησιμοποιήσουμε εργαλεία όπως το PeID που μπορεί να μας βοηθήσει το να αποσυμπιέσουμε τέτοιου είδους εκτελέσιμα αρχεία.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου