Malvér

Analýza malvéru v systéme Linux

Analýza malvéru v systéme Linux
Malvér je škodlivá časť kódu odoslaná s úmyslom poškodiť počítačový systém. Malvér môže byť ľubovoľného typu, napríklad rootkity, spyware, adware, vírusy, červy atď., ktorá sa skrýva a beží na pozadí pri komunikácii so svojím veliacim a riadiacim systémom na vonkajšej sieti. V dnešnej dobe je väčšina malwarov špecifikovaná pre konkrétny cieľ a špeciálne programovaná tak, aby obchádzala bezpečnostné opatrenia cieľového systému. Preto je ťažké odhaliť pokročilý malware prostredníctvom bežných bezpečnostných riešení. Škodlivé programy sú zvyčajne špecifické pre konkrétny cieľ a dôležitým krokom pri spustení škodlivého softvéru je jeho vektor infekcie, t.e., ako sa malware dostane na povrch cieľa. Môže sa použiť napríklad neopísateľná jednotka USB alebo škodlivé odkazy na stiahnutie (prostredníctvom sociálneho inžinierstva / phishingu). Malvér musí byť schopný zneužiť zraniteľnosť na infikovanie cieľového systému. Malvér je vo väčšine prípadov vybavený schopnosťou vykonávať viac ako jednu funkciu; malware môže napríklad obsahovať kód na zneužitie určitej zraniteľnosti a môže obsahovať aj užitočné zaťaženie alebo program na komunikáciu s útočiacim strojom.

REMnux

Demontáž počítačového malvéru, aby sa študovalo jeho správanie a pochopilo sa, čo v skutočnosti robí, sa nazýva Malware, reverzné inžinierstvo. Na zistenie, či spustiteľný súbor obsahuje malware, alebo či je to iba obyčajný spustiteľný súbor, alebo na zistenie toho, čo spustiteľný súbor v skutočnosti robí a aký má dopad na systém, existuje špeciálna distribúcia systému Linux s názvom REMnux. REMnux je ľahká distro distribúcia založená na Ubuntu vybavená všetkými nástrojmi a skriptmi potrebnými na vykonanie podrobnej analýzy škodlivého softvéru v danom spustiteľnom súbore alebo softvéri. REMnux je vybavený bezplatnými nástrojmi otvoreného zdroja, ktoré možno použiť na preskúmanie všetkých typov súborov vrátane spustiteľných súborov. Niektoré nástroje v REMnux môžu byť dokonca použité na preskúmanie nejasných alebo zmätených kódov JavaScript a programov Flash.

Inštalácia

REMnux je možné spustiť na ľubovoľnej distribúcii založenej na systéme Linux alebo vo virtuálnom boxe s operačným systémom Linux ako hostiteľom. Prvým krokom je stiahnutie súboru REMnux distribúcia z jeho oficiálnych webových stránok, ktorú je možné vykonať zadaním nasledujúceho príkazu:

[chránené e-mailom]: ~ $ wget https: // REMnux.org / remnux-cli

Porovnaním podpisu SHA1 skontrolujte, či ide o rovnaký súbor, aký ste chceli. Podpis SHA1 je možné vytvoriť pomocou nasledujúceho príkazu:

[chránené e-mailom]: ~ $ sha256sum remnux-cli

Potom ju presuňte do iného adresára s názvom „Remnux“ a dať mu spustiteľné oprávnenie pomocou „Chmod + x.“ Teraz spustite nasledujúci príkaz na spustenie procesu inštalácie:

[chránené e-mailom]: ~ $ mkdir remnux
[chránené e-mailom]: ~ $ cd remnux
[chránené e-mailom]: ~ $ mv… / remux-cli ./
[chránené e-mailom]: ~ $ chmod + x remnux-cli
// Nainštalujte Remnux
[chránené e-mailom]: ~ $ sudo install remnux

Reštartujte systém a novo nainštalovaný systém budete môcť používať REMnux distribúcia obsahujúca všetky nástroje dostupné pre postup reverzného inžinierstva.

Ďalšia užitočná vec o REMnux je, že môžete použiť obrázky populárnych dokov REMnux nástroje na vykonanie konkrétnej úlohy namiesto inštalácie celej distribúcie. Napríklad RetDec nástroj sa používa na rozobratie strojového kódu a prijíma vstupy v rôznych formátoch súborov, napríklad 32-bitové / 62-bitové súbory exe, súbory elfov atď. Rekall je ďalší skvelý nástroj obsahujúci obraz ukotviteľného panelu, ktorý je možné použiť na vykonávanie niektorých užitočných úloh, ako je extrakcia údajov z pamäte a načítanie dôležitých údajov. Na preskúmanie nejasného kódu JavaScript sa volal nástroj JSdetox môžu byť tiež použité. Docker obrázky týchto nástrojov sú prítomné v REMnux úložisko v Docker Hub.

Analýza škodlivého softvéru

Volá sa kontrola nepredvídateľnosti dátového toku Entropia. Konzistentný prúd bajtov údajov, napríklad všetky nuly alebo všetky, má 0 entropie. Na druhej strane, ak sú dáta šifrované alebo pozostávajú z alternatívnych bitov, budú mať vyššiu hodnotu entropie. Dobre šifrovaný dátový paket má vyššiu hodnotu entropie ako normálny paket dát, pretože bitové hodnoty v šifrovaných paketoch sú nepredvídateľné a menia sa rýchlejšie. Entropia má minimálnu hodnotu 0 a maximálnu hodnotu 8. Entropy v analýze malvéru sa primárne používa na vyhľadanie škodlivého softvéru v spustiteľných súboroch. Ak spustiteľný súbor obsahuje škodlivý softvér, je väčšinou šifrovaný úplne, aby ho antivírusový program nemohol preskúmať. Úroveň entropie tohto typu súboru je v porovnaní s bežným súborom veľmi vysoká, čo vyšle vyšetrovateľovi signál o niečom podozrivom v obsahu súboru. Vysoká hodnota entropie znamená vysoké zakódovanie dátového toku, čo je jasný údaj o niečom možnom.

Tento užitočný nástroj je vytvorený na jediný účel: na vyhľadanie škodlivého softvéru v systéme. Útočníci zvyčajne robia to, že škodlivý softvér zabalia do kódovaných údajov (alebo ho zakódujú alebo zašifrujú), aby ho antivírusový softvér nemohol zistiť. Density Scout skenuje zadanú cestu k súborovému systému a vytlačí hodnoty entropie každého súboru v každej ceste (od najvyššej po najnižšiu). Vysoká hodnota spôsobí, že vyšetrovateľ bude podozrivý a bude ďalej vyšetrovať spis. Tento nástroj je k dispozícii pre operačné systémy Linux, Windows a Mac. Density Scout má tiež ponuku pomoci s rôznymi možnosťami, ktoré poskytuje, s nasledujúcou syntaxou:

ubuntu @ ubuntu: ~ densityscout --h

ByteHist je veľmi užitočný nástroj na generovanie grafu alebo histogramu podľa úrovne kódovania údajov (entropie) rôznych súborov. To ešte viac uľahčuje prácu vyšetrovateľa, pretože tento nástroj dokonca vytvára histogramy podsekcií spustiteľného súboru. To znamená, že teraz sa vyšetrovateľ môže jednoducho zamerať na časť, v ktorej nastane podozrenie, už len pri pohľade na histogram. Histogram normálne vyzerajúceho súboru by bol úplne iný ako škodlivý.

Detekcia anomálií

Malwares je možné zbaliť normálne pomocou rôznych nástrojov, ako sú napr UPX. Tieto pomocné programy upravujú hlavičky spustiteľných súborov. Keď sa niekto pokúsi tieto súbory otvoriť pomocou debuggeru, upravené hlavičky debugger zrútia, aby ho vyšetrovatelia nemohli prehliadnuť. Pre tieto prípady, Zisťovanie anomálií používajú sa nástroje.

PE Scanner je užitočný skript napísaný v Pythone, ktorý sa okrem iných funkcií používa na detekciu podozrivých záznamov TLS, neplatných časových značiek, sekcií s podozrivými úrovňami entropie, sekcií s nespracovanými veľkosťami nulovej dĺžky a malwarov zabalených do súborov exe.

Ďalším skvelým nástrojom na kontrolu zvláštneho správania súborov exe alebo dll je kontrola EXE. Tento nástroj kontroluje v hlavičkovom poli spustiteľných súborov podozrivé úrovne entropie, sekcie s veľkosťami nespracovaného obsahu nulovej dĺžky, rozdiely v kontrolnom súčte a všetky ostatné typy nepravidelného správania súborov. EXE Scan má skvelé vlastnosti, generuje podrobnú správu a automatizuje úlohy, čo šetrí veľa času.

Popletené struny

Útočníci môžu použiť a radenie metóda na zahmlievanie reťazcov v škodlivých spustiteľných súboroch. Existujú určité typy kódovania, ktoré možno použiť na zahmlievanie. Napríklad, ROT kódovanie sa používa na otočenie všetkých znakov (menších a veľkých písmen) o určitý počet pozícií. XOR kódovanie používa na kódovanie alebo na XOR súbor tajný kľúč alebo prístupovú frázu (konštantu). ROL kóduje bajty súboru ich otáčaním po určitom počte bitov. Existujú rôzne nástroje na extrahovanie týchto nechápavých reťazcov z daného súboru.

XORsearch sa používa na hľadanie obsahu v súbore, ktorý je kódovaný pomocou Algoritmy ROT, XOR a ROL. Brute vynúti všetky jednobajtové hodnoty kľúčov. Pri dlhších hodnotách bude tento nástroj trvať veľa času, a preto musíte zadať hľadaný reťazec. Niektoré užitočné reťazce, ktoré sa zvyčajne nachádzajú v malvéri, sú „http”(Adresy URL sú väčšinou skryté v kóde škodlivého softvéru), "Tento program" (hlavička súboru sa v mnohých prípadoch upraví napísaním „Tento program nie je možné spustiť v DOSe“). Po nájdení kľúča je možné pomocou neho dekódovať všetky bajty. Syntax XORsearch je nasledovná:

ubuntu @ ubuntu: ~ xorsearch -s

  • brutexor

Po nájdení klávesov pomocou programov ako xor search, xor strings atď., dá sa použiť skvelý nástroj s názvom brutexor vynútiť načítanie ľubovoľného súboru pre reťazce bez určenia daného reťazca. Pri použití -f možno zvoliť celý súbor. Súbor je možné najskôr hrubo vynútiť a extrahované reťazce sa skopírujú do iného súboru. Potom, po pohľade na extrahované reťazce, je možné nájsť kľúč a teraz pomocou tohto kľúča možno extrahovať všetky reťazce kódované pomocou tohto konkrétneho kľúča.

ubuntu @ ubuntu: ~ brutexor.py >> chcete skopírovať extrahované reťazce>
ubuntu @ ubuntu: ~ brutexor.py -f -k

Extrakcia artefaktov a cenných údajov (vymazané)

Analyzovať obrazy diskov a pevných diskov a extrahovať z nich artefakty a cenné údaje pomocou rôznych nástrojov, ako je Skalpel, Predovšetkým, atď., najskôr je potrebné vytvoriť ich bitový bitový obraz, aby sa nestratili žiadne údaje. Na vytvorenie týchto kópií obrázkov sú k dispozícii rôzne nástroje.

  • dd

dd sa používa na vytvorenie forenzne zvukového obrazu jednotky. Tento nástroj tiež poskytuje kontrolu integrity tým, že umožňuje porovnanie hašovania obrazu s pôvodnou diskovou jednotkou. Nástroj dd možno použiť nasledovne:

ubuntu @ ubuntu: ~ dd ak = z = bs = 512
if = Zdrojová jednotka (napríklad / dev / sda)
of = Cieľové miesto
bs = veľkosť bloku (počet bajtov, ktoré sa majú naraz kopírovať)

  • dcfldd

dcfldd je ďalší nástroj používaný na zobrazovanie diskov. Tento nástroj je ako inovovaná verzia nástroja dd. Poskytuje viac možností ako dd, napríklad hašovanie v čase zobrazovania. Možnosti dcfldd môžete preskúmať pomocou nasledujúceho príkazu:

ubuntu @ ubuntu: ~ dcfldd -h
Použitie: dcfldd [VOĽBA]…
bs = BYTES sila ibs = BYTES a obs = BYTES
conv = KEYWORDS prevedie súbor podľa zoznamu kľúčových slov oddelených čiarkami
count = BLOCKS kopíruje iba vstupné bloky BLOCKS
ibs = BYTES čítať BYTES bajtov naraz
if = SÚBOR načítaný zo SÚBORU namiesto štandardného načítania
obs = BYTES zapisuje BYTES bajtov naraz
z = SÚBOR zapisovať do SÚBORU namiesto štandardného výstupu
POZNÁMKA: of = FILE možno na zápis použiť viackrát
výstup do viacerých súborov súčasne
of: = COMMAND exec a zápis na výstup do procesu COMMAND
skip = BLOKY preskočí BLOKY bloky veľkosti ibs na začiatku vstupu
pattern = HEX použije ako vstup zadaný binárny vzor
textpattern = TEXT použije ako vstup opakujúci sa TEXT
errlog = SÚBOR odosiela chybové správy do SÚBORU rovnako ako stderr
hash = NÁZOV buď md5, sha1, sha256, sha384 alebo sha512
predvolený algoritmus je md5. Ak chcete vybrať viac
algoritmy bežať súčasne zadajte názvy
v zozname oddelenom čiarkami
hashlog = SÚBOR pošle hash výstup MD5 do SÚBORU namiesto stderr
ak používate viac hash algoritmov, ste
môžete poslať každý do samostatného súboru pomocou
konvencia ALGORITHMlog = SÚBOR, napríklad
md5log = SÚBOR1, sha1log = SÚBOR2 atď.
hashlog: = COMMAND exec a zápis hashlog na spracovanie príkazu
ALGORITHMlog: = COMMAND funguje rovnako
hashconv = [before | after] vykonať hašovanie pred alebo po konverziách
hash format = FORMAT zobrazí každé hashwindow podľa FORMAT
mini jazyk pre hash formát je popísaný nižšie
totalhash format = FORMAT zobrazí celkovú hodnotu hash podľa FORMAT
status = [on | off] zobrazí nepretržitú stavovú správu na stderr
predvolený stav je „zapnutý“
statusinterval = N aktualizuje stavovú správu každých N blokov
predvolená hodnota je 256
vf = SÚBOR overte, či sa SÚBOR zhoduje so zadaným vstupom
verifylog = SÚBOR poslať výsledky overenia do SÚBORU namiesto stderr
verifylog: = príkaz COMMAND a zápis výsledkov overenia na spracovanie príkazu
--pomôcť zobraziť túto pomoc a ukončiť
--verzia výstup informácie o verzii a ukončenie

  • Predovšetkým

Foremost sa používa na vyrezanie údajov z obrazového súboru pomocou techniky známej ako rezba súborov. Hlavným zameraním na vyrezávanie súborov je vyrezávanie údajov pomocou hlavičiek a päty. Jeho konfiguračný súbor obsahuje niekoľko hlavičiek, ktoré môže užívateľ editovať. Foremost extrahuje hlavičky a porovnáva ich s tými v konfiguračnom súbore. Ak sa zhoduje, zobrazí sa.

  • Skalpel

Skalpel je ďalší nástroj používaný na získavanie a extrakciu dát a je porovnateľne rýchlejší ako Foremost. Skalpel sa pozrie na blokovanú oblasť ukladania údajov a začne obnovovať odstránené súbory. Pred použitím tohto nástroja musí byť riadok typov súborov odkomentovaný odstránením # z požadovaného riadku. Skalpel je k dispozícii pre operačné systémy Windows aj Linux a považuje sa za veľmi užitočný pri forenzných vyšetrovaniach.

  • Hromadný extraktor

Hromadný extraktor sa používa na extrahovanie funkcií, ako sú e-mailové adresy, čísla kreditných kariet, adresy URL atď. Tento nástroj obsahuje mnoho funkcií, ktoré úlohám dodávajú mimoriadnu rýchlosť. Na dekompresiu čiastočne poškodených súborov sa používa program Bulk Extractor. Môže načítať súbory ako jpgs, pdf, textové dokumenty atď. Ďalšou vlastnosťou tohto nástroja je, že vytvára histogramy a grafy obnovených typov súborov, čo vyšetrovateľom výrazne uľahčuje hľadanie na požadovaných miestach alebo dokumentoch.

Analýza súborov PDF

Mať plne opravený počítačový systém a najnovší antivírus nemusí nutne znamenať, že je systém bezpečný. Škodlivý kód sa môže dostať do systému odkiaľkoľvek, vrátane súborov PDF, škodlivých dokumentov atď. Súbor PDF sa zvyčajne skladá z hlavičky, objektov, tabuľky s krížovými odkazmi (na vyhľadanie článkov) a z upútavky. „/ OpenAction“ a „/ AA“ (ďalšia akcia) zaisťuje, aby obsah alebo aktivita prebiehali prirodzene. „/ Názvy“, „/ AcroForm“ a „/ Action“ môže tiež označiť a odoslať obsah alebo aktivity. „/ JavaScript“ označuje spustený JavaScript. "/Ísť do*" zmení pohľad na vopred definovaný cieľ vo vnútri súboru PDF alebo v inom zázname PDF. „/ Spustiť“ odošle program alebo otvorí archív. „/ URI“ získa dielo prostredníctvom svojej adresy URL. "/Odoslať formulár" a „/ GoToR“ môže posielať informácie na adresu URL. „/ RichMedia“ je možné použiť na inštaláciu Flash vo formáte PDF. „/ ObjStm“ môže zahaliť objekty do prúdu objektov. Dajte si pozor na zámenu napríklad s hexadecimálnymi kódmi, „/ JavaScript“ proti “/ J # 61vaScript.“ Súbory PDF je možné preskúmať pomocou rôznych nástrojov na zistenie, či obsahujú škodlivý JavaScript alebo shell kód.

  • pdfid.py

pdfid.py je skript v jazyku Python, ktorý sa používa na získanie informácií o súbore PDF a jeho hlavičkách. Pozrime sa na náhodnú analýzu súboru PDF pomocou súboru pdfid:

ubuntu @ ubuntu: ~ python pdfid.py zlomyseľný.pdf
PDFiD 0.2.1 / home / ubuntu / Desktop / škodlivý.pdf
Hlavička PDF:% PDF-1.7
obj 215
endobj 215
prúd 12
koncový prúd 12
xref 2
príves 2
startxref 2
/ Strana 1
/ Šifrovať 0
/ ObjStm 2
/ JS 0
/ JavaScript 2
/ AA 0
/ OpenAction 0
/ AcroForm 0
/ JBIG2Decode 0
/ RichMedia 0
/ Spustiť 0
/ EmbeddedFile 0
/ XFA 0
/ Farby> 2 ^ 24 0

Tu vidíte, že vo vnútri súboru PDF sa nachádza kód JavaScript, ktorý sa najčastejšie používa na zneužitie programu Adobe Reader.

  • peepdf

peepdf obsahuje všetko potrebné pre analýzu súborov PDF. Tento nástroj dáva vyšetrovateľovi pohľad na kódovanie a dekódovanie streamov, úpravy metadát, shell kód, vykonávanie shell kódov a škodlivý JavaScript. Peepdf má podpisy pre mnoho zraniteľností. Pri jeho spustení so škodlivým súborom pdf odhalí program peepdf všetky známe chyby zabezpečenia. Peepdf je skript v jazyku Python a poskytuje rôzne možnosti analýzy súboru PDF. Program Peepdf tiež používajú škodliví programátori na zabalenie súboru PDF so škodlivým kódom JavaScript, ktorý sa vykoná po otvorení súboru PDF. Analýza shell kódu, extrakcia škodlivého obsahu, extrakcia starých verzií dokumentov, úpravy objektov a úpravy filtrov sú len niektoré z mnohých možností tohto nástroja.

ubuntu @ ubuntu: ~ python peepdf.py zlomyseľný.pdf
Súbor: škodlivý.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Veľkosť: 263069 bajtov
Verzia: 1.7
Binárne: Pravda
Linearizované: Falošné
Šifrované: Falošné
Aktualizácie: 1
Predmety: 1038
Prúdy: 12
URI: 156
Komentáre: 0
Chyby: 2
Prúdy (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Streamy Xref (1): [1038]
Streamy objektov (2): [204, 705]
Zakódované (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Objekty s URI (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Podozrivé prvky: / Názvy (1): [200]

Pieskovisko kukučky

Sandboxing sa používa na kontrolu správania netestovaných alebo nedôveryhodných programov v bezpečnom a realistickom prostredí. Po vložení súboru Pieskovisko kukučky, za pár minút tento nástroj odhalí všetky príslušné informácie a správanie. Malwares sú hlavnou zbraňou útočníkov a Kukučka je najlepšia obrana, akú človek môže mať. V dnešnej dobe nestačí iba vedieť, že malware vstúpi do systému a odstrániť ho. Dobrý bezpečnostný analytik musí analyzovať a preskúmať správanie programu, aby určil vplyv na operačný systém, celý jeho kontext a jeho hlavné ciele.

Inštalácia

Kukučku je možné nainštalovať do operačných systémov Windows, Mac alebo Linux stiahnutím tohto nástroja prostredníctvom oficiálnej webovej stránky: https: // cuckoosandbox.org /

Aby funkcia Kukučka fungovala hladko, je potrebné nainštalovať niekoľko modulov a knižníc Pythonu. To možno vykonať pomocou nasledujúcich príkazov:

ubuntu @ ubuntu: ~ sudo apt-get nainštalovať python python-pip
python-dev mongodb postgresql libpq-dev

Aby Kukučka zobrazila výstup odhaľujúci správanie programu v sieti, vyžaduje sniffer paketov ako tcpdump, ktorý je možné nainštalovať pomocou nasledujúceho príkazu:

ubuntu @ ubuntu: ~ sudo apt-get install tcpdump

Na zabezpečenie funkčnosti SSL programátora Python na implementáciu klientov a serverov možno použiť m2crypto:

ubuntu @ ubuntu: ~ sudo apt-get install m2crypto

Využitie

Kukučka analyzuje rôzne typy súborov, vrátane súborov PDF, textových dokumentov, spustiteľných súborov atď. S najnovšou verziou možno pomocou tohto nástroja analyzovať dokonca aj webové stránky. Kukučka môže tiež prerušiť sieťový prenos alebo ho smerovať cez VPN. Tento nástroj dokonca vypíše sieťový prenos alebo sieťový prenos s povoleným protokolom SSL a ten je možné znova analyzovať. Skripty PHP, adresy URL, súbory html, skripty jazyka Visual Basic, súbory zip, dll a takmer akýkoľvek iný typ súboru možno analyzovať pomocou nástroja Cuckoo Sandbox.

Ak chcete použiť kukučku, musíte odoslať vzorku a potom analyzovať jej účinok a správanie.

Ak chcete odoslať binárne súbory, použite nasledujúci príkaz:

# kukučka odoslať

Ak chcete zadať adresu URL, použite nasledujúci príkaz:

# kukučka odoslať

Ak chcete nastaviť časový limit pre analýzu, použite nasledujúci príkaz:

# časový limit na odoslanie kukučky = 60 s

Ak chcete pre daný binárny súbor nastaviť vyššiu vlastnosť, použite nasledujúci príkaz:

# kukučka odoslať - priorita 5

Základná syntax kukučky je nasledovná:

# cuckoo submit --package exe --options arguments = dosometask

Po dokončení analýzy je v adresári viditeľné množstvo súborov „CWD / skladovanie / analýza,“ obsahujúci výsledky analýzy na poskytnutých vzorkách. Súbory prítomné v tomto adresári zahŕňajú nasledujúce:

  • Analýza.denník: Obsahuje výsledky procesu v čase analýzy, ako sú chyby za behu, vytváranie súborov atď.
  • Pamäť.skládka: Obsahuje analýzu úplného výpisu pamäte.
  • Vyložiť.pcap: Obsahuje výpis siete vytvorený tcpdump.
  • Súbory: Obsahuje všetky súbory, na ktorých malware pracoval alebo na ktoré mal vplyv.
  • Dump_sorted.pcap: Obsahuje ľahko pochopiteľnú formu skládky.súbor pcap na vyhľadanie toku TCP.
  • Záznamy: Obsahuje všetky vytvorené protokoly.
  • Strely: Obsahuje snímky pracovnej plochy počas spracovania škodlivého softvéru alebo v čase, keď bol škodlivý softvér spustený v systéme Kukučka.
  • Tlsmaster.TXT: Obsahuje hlavné tajomstvá TLS zachytené počas vykonávania škodlivého softvéru.

Záver

Všeobecne panuje názor, že systém Linux neobsahuje vírusy alebo že šanca na získanie škodlivého softvéru v tomto operačnom systéme je veľmi zriedkavá. Viac ako polovica webových serverov je založená na systéme Linux alebo Unix. S toľkými systémami Linux, ktoré slúžia webovým serverom a inej internetovej prevádzke, vidia útočníci v systémoch Linux pre malware veľký vektor útoku. Takže ani denné používanie antivírusových nástrojov by nestačilo. Na ochranu pred hrozbami škodlivého softvéru je k dispozícii veľa antivírusových riešení a riešení zabezpečenia koncových bodov. Malvér však analyzovať manuálne, Pieskovisko REMnux a Cuckoo sú najlepšie dostupné možnosti. REMnux poskytuje širokú škálu nástrojov v ľahkom a ľahko inštalovateľnom distribučnom systéme, ktorý by bol vynikajúci pre každého forenzného vyšetrovateľa pri analýze škodlivých súborov všetkých typov na prítomnosť malwarov. Niektoré veľmi užitočné nástroje sú už podrobne popísané, ale to nie je všetko, čo REMnux má, je to len špička ľadovca. Medzi najužitočnejšie nástroje v distribučnom systéme REMnux patria:

Aby sme pochopili správanie podozrivého, nedôveryhodného programu alebo programu tretej strany, musí byť tento nástroj spustený v bezpečnom, realistickom prostredí, ako je napr Pieskovisko kukučky, takže nemôže dôjsť k poškodeniu hostiteľského operačného systému.

Používanie sieťových ovládacích prvkov a techník vytvrdzovania systému poskytuje systému ďalšiu vrstvu zabezpečenia. Techniky reakcie na incidenty alebo techniky digitálneho forenzného vyšetrovania musia byť tiež pravidelne inovované, aby sa prekonali malware hrozby pre váš systém.

Hry Najlepšie emulátory herných konzol pre systém Linux
Najlepšie emulátory herných konzol pre systém Linux
V tomto článku je uvedený zoznam populárneho softvéru na emuláciu herných konzol, ktorý je k dispozícii pre systém Linux. Emulácia je vrstva kompatibi...
Hry Najlepšie linuxové distribúcie pre hry v roku 2021
Najlepšie linuxové distribúcie pre hry v roku 2021
Operačný systém Linux prešiel dlhou cestou od svojho originálneho, jednoduchého serverového vzhľadu. Tento OS sa za posledné roky nesmierne vylepšil a...
Hry Ako zachytiť a streamovať vašu hernú reláciu v systéme Linux
Ako zachytiť a streamovať vašu hernú reláciu v systéme Linux
V minulosti sa hranie hier považovalo iba za hobby, ale časom došlo v hernom priemysle k obrovskému nárastu z hľadiska technológie i počtu hráčov. Her...