«

»

Jan 16 2013

Ανάλυση malware, για όλους! [μέρος 1]

Μπαίνοντας στο γραφείο του, Δευτέρα πρωί και μετά από ένα ήσυχο κι ευχάριστο Σαββατοκύριακο, ο Μέσος Παπαδόπουλος δέχεται έναν αναπάντεχο βομβαρδισμό παραπόνων από τους υπαλλήλους της εταιρείας. Όλη η γκρίνια φαίνεται να αφορά σε έναν Windows Server, ο οποίος φιλοξενεί το μισό Intranet κι από νωρίς το πρωί σέρνεται. Δεν περνά πολλή ώρα κι ο άνθρωπός μας αρχίζει να πανικοβάλλεται. Αρχίζει κάτι να ψελλίζει, για ένα πρόγραμμα που προχθές βρήκε σε ένα μάλλον άγνωστο site, κι εγκατέστησε στον server…

deltaHacker 016 (τεύχος Ιανουαρίου 2013) | Ανάλυση malware, για όλους! [μέρος 1]

Το συγκεκριμένο εργαλείο υποτίθεται ότι έπαιρνε αυτοματοποιημένα backup ιστοσελίδων, κι ο Μέσος Παπαδόπουλος το βρήκε χρήσιμο για ένα πρότζεκτ που τώρα τελευταία δουλεύει. Όταν όμως το έτρεξε, το πρόγραμμα δεν φάνηκε να κάνει κάτι. Ντάμπλγιου-τι-εφ, μουρμούρισε ο Μ. Π. κι ελαφρά εκνευρισμένος άρχισε την αναζήτηση για κάποιο άλλο utility. Ήταν Παρασκευή απόγευμα, η ώρα για να σχολάσει πλησίαζε κι από πάνω είχε και το τριβέλισμα δύο και πλέον εβδομάδων από άλλους συναδέλφους, οι οποίοι τον ζάλιζαν εξυμνώντας τα οφέλη των αυτοματισμών, των αντιγράφων εφεδρείας κ.λπ. κ.λπ.

Παίρνοντας μια βαθιά ανάσα, ο Μ. Π. συνδέεται τώρα στον Windows Server και ψάχνει να βρει τι μπορεί να πηγαίνει στραβά. Ήδη βέβαια διάφορες σκέψεις περνούν από το μυαλό του, αλλά μην τολμώντας καν να τους δώσει την πρέπουσα βαρύτητα ελπίζει ότι το πρόβλημα θα οφείλεται Κάπου Αλλού (TM). Μετά από λίγη ώρα απρόθυμα επιστρέφει στην αρχική, φρικτή υποψία, που πλέον έχει γίνει βεβαιότητα.

Με εκτενές ψάξιμο παρατηρεί κάποια αρχεία τα οποία δεν ήταν εκεί την Παρασκευή, ενώ ούτε και σήμερα θα έπρεπε να είναι. Η επισκόπηση των ενεργών διεργασιών του συστήματος αρχικά δεν δείχνει κάτι το ύποπτο. Ξαφνικά, όμως, παρατηρεί δυο εφαρμογές που συνήθως είναι idle, τώρα να είναι κάπως υπερδραστήριες. Επιπρόσθετα, έχουν δεσμεύσει και ύποπτα πολλή μνήμη! Με μια γρήγορη ματιά στα logs του firewall αποδεικνύεται πως έχουν και διάθεση για κουβέντα, καθώς πολλά πακέτα φαίνεται να πηγαινοέρχονται εξαιτίας τους σε non-standard ports!

Οι κακές σκέψεις που έχουν κατακλύσει τον νου του Μ. Π. έχουν πλεον επιβεβαιωθεί. Απρόθυμα και κάπως φοβισμένα φωνάζει τον junior admin για βοήθεια, ενώ ενημερώνει και τον προϊστάμενο για μια κακόβουλη εφαρμογή, η οποία έχει εγκατασταθεί στον Windows Server και πιθανώς και σε άλλα μηχανήματα της εταιρείας. «Το πώς δεν έχει σημασία», προσθέτει, προσπαθώντας να προσδώσει στον τόνο της φωνής του την αίσθηση του κατεπείγοντος. «Τώρα είναι η ώρα της δράσης — και πρέπει να δράσουμε χθες!», συμπληρώνει, ελπίζοντας ότι αυτό το τελευταίο θα μουδιάσει αρκετά τον προϊστάμενο κι έτσι θα κερδίσει χρόνο και κυρίως μια κάποια άνεση κινήσεων, προκειμένου να δει τι στο καλό θα κάνει. Σε κάθε περίπτωση, έχει μια μεγάλη μέρα μπροστά του.

Τι διαγράφεται (μπροστά μας)
Αγαπητές φίλες και φίλοι, στη σειρά άρθρων που τώρα ξεκινά θα μάθουμε πώς μπορούμε να αναλύουμε κακόβουλα προγράμματα, σαν αυτό που θρονιάστηκε στον υπολογιστή του Μέσου Παπαδόπουλου. Κι όταν μιλάμε για ανάλυση εννοούμε την εφαρμογή διαφόρων τεχνικών, ώστε να μαθαίνουμε τις ενέργειες που εκτελεί ένα μεταγλωττισμένο αρχείο (binary) για το οποίο, φυσικά, δεν διαθέτουμε τον πηγαίο κώδικα (source code). Πρακτικά, έτσι έχουν πάντα τα πράγματα με τους ιούς, τα worms, τα trojan horses κι άλλα κακόβουλα προγράμματα (malware).

Με τις τεχνικές μας θα καταλαβαίνουμε τι σκοπό έχει το malware, ποια ήταν τα κίνητρα του δημιουργού του, πώς είναι προστατευμένο, πώς κρύβεται από τα μάτια του μέσου χρήστη κ.ο.κ. Καλό είναι να γνωρίζετε ότι η διαδικασία της ανάλυσης γίνεται λίγο πολύ στα τυφλά — τουλάχιστον στα πρώτα στάδιά της. Βεβαίως, καθένα από τα στάδια ενδέχεται να ανατροφοδοτεί με νέες πληροφορίες γνώσεις που εξήχθησαν σε προηγούμενα. Κατά τον τρόπο αυτό, είναι προφανές ότι συχνά πραγματοποιείται ένας κύκλος απόκτησης πληροφοριών.

Θα ασχοληθούμε με δύο βασικές τεχνικές ανάλυσης, ενώ θα παρουσιάσουμε και τα εργαλεία που χρησιμοποιούνται σε κάθε μία. Φυσικά, επειδή μας αρέσουν οι πράξεις περισσότερο από τα λόγια, θα εφαρμόσουμε όλα αυτά πάνω σε πολύ συγκεκριμένα δείγματα κακόβουλων προγραμμάτων.

Στο τέλος της σειράς μας θα έχετε αποκτήσει την ικανότητα διενέργειας μιας βασικής ανάλυσης ενός ύποπτου προγράμματος, ενώ θα μπορείτε να βγάζετε και συμπεράσματα για το τι ενέργειες θα πραγματοποιήσει σε περίπτωση που ενεργοποιηθεί. Πριν περάσουμε όμως στην ίδια τη διαδικασία της ανάλυσης, ας βάλουμε μια σειρά ξεκινώντας από τα βασικά.

Διαβάστε όλο το άρθρο στο deltaHacker 016 (τεύχος Ιανουαρίου 2013). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking, δίκτυα, ασφάλεια, προγραμματισμό και ηλεκτρονικά, που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Leave a Reply

More in Malware
HoneyDrive 0.2 Nectar edition released!
Visualizing Dionaea’s results with DionaeaFR
TekTip ep18 – HoneyDrive
HoneyDrive Desktop released!
NICT Daedalus Cyber-attack alert system
Close