1. Analisis Malware: Langkah Awal
Gejala Malware
Langkah pertama dalam penyelidikan saya adalah mencari tahu gejala-gejala yang disebabkan oleh program. Teman saya mengatakan kepada saya ketika dia pertama kali menjalankan program, itu memicu Blue Screen of Death, tetapi tidak ada yang luar biasa terjadi ketika ia me-reboot komputer. Ini memberi tahu saya 2 hal tentang malware:
Karena "virus" menyebabkan Blue Screen of Death, ini berarti mengacaukan suatu tempat. Perangkat lunak jahat bertujuan menyebabkan gangguan sesedikit mungkin, karena acara seperti layar biru dapat memperingatkan pengguna tentang fakta bahwa ada sesuatu yang salah.
Programmer malware tidak maju. Pembuat malware yang berpengalaman tidak akan cukup bodoh untuk menyebabkan BSOD. BSOD biasanya disebabkan oleh kesalahan seperti pointer null, dan masalah referensi memori lainnya. Dengan memahami penulis, Anda dapat lebih memahami karyanya.
Hanya dari fakta bahwa virus itu menyebabkan Blue Screen of Death, saya belajar banyak tentang program dan penulisnya. Dengan memahami malware dan penulis dengan lebih baik, saya dapat mengambil dugaan yang terdidik mengenai tingkat kerumitannya, serta motivasi dan sasaran.
File: Saya pertama kali menjalankan utilitas "file" untuk mencari tahu apa sebenarnya yang saya hadapi. Hasilnya menunjukkan ini:
w89e85t5.exe: PE32 dapat dieksekusi untuk MS Windows (konsol) Intel 80386 32-bit Mono / .Net assembly
Hasilnya memberi tahu saya beberapa hal. Pertama, ini adalah executable portabel, artinya dibuat untuk portabilitas maksimum. Dalam konteks analisis malware ini, ini masuk akal, karena pembuat malware akan ingin menjalankan ini sebanyak mungkin jenis komputer. Bagian kedua dari output menunjukkan kepada kita bahwa itu dibuat untuk berjalan di komputer 32 bit, dan dibuat menggunakan Mono dengan the.Net Framework.
Alat lain yang berguna dalam analisis malware adalah program yang disebut PEiD, yang memindai suatu eksekusi untuk tanda-tanda dikemas. Packers adalah utilitas yang digunakan untuk mengaburkan executable, sehingga lebih sulit bagi teknisi reverse untuk membongkar malware menggunakan program seperti IDA Pro. PEiD mengembalikan hasil dari ï »¿ï» ¿ï »¿ï» ¿"Microsoft Visual C% 23 / Basic.NET", mengonfirmasi bahwa.NET digunakan dalam pembuatan malware. Bagian Visual C% 23 juga memberi saya beberapa informasi lebih lanjut mengenai bahasa yang digunakan untuk membuat virus.
Saya memulai VMware di Ubuntu, dan memuat gambar disk Windows XP. Langkah yang paling penting adalah mengatur jaringan dengan benar. Saya mengaturnya dengan koneksi NAT, sehingga VMware akan mengirim permintaan melalui mesin host ke perangkat keras yang sebenarnya. Namun, saya memastikan untuk tetap terputus dari jaringan setiap saat. Ini sangat penting! Hal terakhir yang ingin Anda lakukan ketika menganalisis worm adalah untuk melepaskannya pada sistem Anda sendiri.
Dengan pengaturan mesin virtual, saya memindahkan semuanya ke posisi, termasuk menggunakan Wireshark untuk mengendus lalu lintas dari VMware, yang menggunakan lalu lintaspada antarmuka vmnet8.
Paket-paket itu dengan jelas menunjukkan malware yang mencoba menghasilkan koneksi dengan 23U.NO-IP.INFO dari permintaan DNS yang dibuatnya. Karena tidak menerima balasan, kami tidak mendapatkan lebih dari itu untuk saat ini. Pencarian WHOIS akhirnya tidak menunjukkan hasil untuk domain ini. Naluri saya mengatakan kepada saya bahwa ini kemungkinan besar beberapa jenis usaha script kiddie pada botnet. Jadi, saya mencoba mencari sedikit lebih jauh ke dalam lalu lintas jaringan. Karena saya tidak akan pergi ke mana pun tanpa menghubungi server itu sendiri, saya mencoba menghubungkan mesin virtual ke jaringan. Di bawah pengawasan cermat yang diberikan oleh Wireshark, saya menyaksikan apa sebenarnya yang dilakukan malware ini. Perhatikan bahwa ini bukan metode yang disukai, tetapi saya telah mengambil semua komputer lain di jaringan saya untuk durasi percobaan kecil ini. Inilah yang ditunjukkan oleh Wireshark sekarang:
Sekarang malware dapat mengirim paket ke dan menerima paket dari server yang ingin dihubungi, saya dapat melihat dengan tepat apa yang sedang dilakukan oleh program khusus ini. Saya mengunggah file paket capture di atas. Paket 1-8 menunjukkan beberapa jenis koneksi yang diatur antara server jarak jauh dan komputer korban kami. Paket 9 muncul untuk menunjukkan kata sandi yang dikirim ke server jauh, dengan kata sandi yang menjadi "\ google_cache2.tmp". Kemudian, paket 17 menunjukkan tambang emas informasi: tampaknya pesan selamat datang dari saluran IRC. Bingo! Malware adalah perekrut botnet IRC. Untuk mendapatkan informasi lebih lanjut, saya melihat aliran TCP:
Sekarang, sebagai orang yang suka berpetualang, saya penasaran dengan botnet ini. Jadi, saya mengambil sendiri untuk mencoba untuk terhubung ke IRC dan memiliki menjarah untuk diri sendiri, semoga berbicara penulis dari malware itu sendiri. Jadi, saya menuju klien IRC web sehingga master botnet tidak akan dapat melihat alamat IP saya sendiri dan mungkin meluncurkan serangan DDos terhadap saya. Saya login menggunakan kata sandi dan informasi lain yang ditemukan dari file paket capture. Saya masuk dan menunggu. Sesekali, saya akan melihat perintah pengguna mengambil bentuk "UDP". Saya berasumsi bahwa dia mengarahkan botnya ke DDos korban dengan paket UDP. Akhirnya, saya benar-benar mulai mengetik, dan menangkap perhatian si botmaster. Percakapan berlangsung seperti ini:
Programmer malware tidak maju. Pembuat malware yang berpengalaman tidak akan cukup bodoh untuk menyebabkan BSOD. BSOD biasanya disebabkan oleh kesalahan seperti pointer null, dan masalah referensi memori lainnya. Dengan memahami penulis, Anda dapat lebih memahami karyanya.
Hanya dari fakta bahwa virus itu menyebabkan Blue Screen of Death, saya belajar banyak tentang program dan penulisnya. Dengan memahami malware dan penulis dengan lebih baik, saya dapat mengambil dugaan yang terdidik mengenai tingkat kerumitannya, serta motivasi dan sasaran.
Pengumpulan Informasi File
Setelah melihat gejalanya, saya selanjutnya melihat sekilas bagian-bagian dari program itu sendiri. Saya menjalankan semua ini di sistem Linux untuk mencegah infeksi yang tidak disengaja. Bahkan kemudian, saya menjalankan tes pada komputer yang tidak berhubungan dengan pekerjaan, dan yang diisolasi dari semua jaringan. Seperti semua kasus lain yang melibatkan analisis malware, sebaiknya berhati-hati. Hal terakhir yang Anda inginkan terjadi adalah secara tidak sengaja menginfeksi diri Anda, hanya untuk menyebarkannya ke komputer Anda yang lain yang lebih penting. Kemudian, saya akhirnya menggunakan VMware untuk alasan ini.File: Saya pertama kali menjalankan utilitas "file" untuk mencari tahu apa sebenarnya yang saya hadapi. Hasilnya menunjukkan ini:
w89e85t5.exe: PE32 dapat dieksekusi untuk MS Windows (konsol) Intel 80386 32-bit Mono / .Net assembly
Hasilnya memberi tahu saya beberapa hal. Pertama, ini adalah executable portabel, artinya dibuat untuk portabilitas maksimum. Dalam konteks analisis malware ini, ini masuk akal, karena pembuat malware akan ingin menjalankan ini sebanyak mungkin jenis komputer. Bagian kedua dari output menunjukkan kepada kita bahwa itu dibuat untuk berjalan di komputer 32 bit, dan dibuat menggunakan Mono dengan the.Net Framework.
Alat lain yang berguna dalam analisis malware adalah program yang disebut PEiD, yang memindai suatu eksekusi untuk tanda-tanda dikemas. Packers adalah utilitas yang digunakan untuk mengaburkan executable, sehingga lebih sulit bagi teknisi reverse untuk membongkar malware menggunakan program seperti IDA Pro. PEiD mengembalikan hasil dari ï »¿ï» ¿ï »¿ï» ¿"Microsoft Visual C% 23 / Basic.NET", mengonfirmasi bahwa.NET digunakan dalam pembuatan malware. Bagian Visual C% 23 juga memberi saya beberapa informasi lebih lanjut mengenai bahasa yang digunakan untuk membuat virus.
2. Analisis Malware: Sistem Komputer Virtual
Setelah menemukan beberapa informasi awal mengenai malware, saya selanjutnya ingin pindah ke sesuatu yang sedikit lebih berisiko, yaitu menjalankan malware di bawah komputer virtual. Rerversing malware di bawah sistem virtual memiliki beberapa manfaat:- Tidak perlu khawatir mempengaruhi komputer produksi
- Tidak ada risiko menginfeksi komputer lain di jaringan
- Lingkungan "Kotak pasir"
- Lihat malware di habitat aslinya
- Beberapa malware dapat menyadari bahwa itu berjalan di bawah mesin virtual
- Malware dapat mencoba untuk memanfaatkan dan keluar dari mesin virtual
- Jika akses jaringan tidak terpotong, worm dapat mencoba untuk mengkompromikan sistem lain di jaringan
Saya memulai VMware di Ubuntu, dan memuat gambar disk Windows XP. Langkah yang paling penting adalah mengatur jaringan dengan benar. Saya mengaturnya dengan koneksi NAT, sehingga VMware akan mengirim permintaan melalui mesin host ke perangkat keras yang sebenarnya. Namun, saya memastikan untuk tetap terputus dari jaringan setiap saat. Ini sangat penting! Hal terakhir yang ingin Anda lakukan ketika menganalisis worm adalah untuk melepaskannya pada sistem Anda sendiri.
Dengan pengaturan mesin virtual, saya memindahkan semuanya ke posisi, termasuk menggunakan Wireshark untuk mengendus lalu lintas dari VMware, yang menggunakan lalu lintaspada antarmuka vmnet8.
3. Analisis Malware: Analisis Lalu Lintas Jaringan
Proses awal tidak menunjukkan apa-apa. Tidak ada Blue Screen of Death yang ditemukan, dan sangat sedikit data jaringan yang dikirim. Inilah yang ditunjukkan oleh Wireshark:Paket-paket itu dengan jelas menunjukkan malware yang mencoba menghasilkan koneksi dengan 23U.NO-IP.INFO dari permintaan DNS yang dibuatnya. Karena tidak menerima balasan, kami tidak mendapatkan lebih dari itu untuk saat ini. Pencarian WHOIS akhirnya tidak menunjukkan hasil untuk domain ini. Naluri saya mengatakan kepada saya bahwa ini kemungkinan besar beberapa jenis usaha script kiddie pada botnet. Jadi, saya mencoba mencari sedikit lebih jauh ke dalam lalu lintas jaringan. Karena saya tidak akan pergi ke mana pun tanpa menghubungi server itu sendiri, saya mencoba menghubungkan mesin virtual ke jaringan. Di bawah pengawasan cermat yang diberikan oleh Wireshark, saya menyaksikan apa sebenarnya yang dilakukan malware ini. Perhatikan bahwa ini bukan metode yang disukai, tetapi saya telah mengambil semua komputer lain di jaringan saya untuk durasi percobaan kecil ini. Inilah yang ditunjukkan oleh Wireshark sekarang:
Sekarang malware dapat mengirim paket ke dan menerima paket dari server yang ingin dihubungi, saya dapat melihat dengan tepat apa yang sedang dilakukan oleh program khusus ini. Saya mengunggah file paket capture di atas. Paket 1-8 menunjukkan beberapa jenis koneksi yang diatur antara server jarak jauh dan komputer korban kami. Paket 9 muncul untuk menunjukkan kata sandi yang dikirim ke server jauh, dengan kata sandi yang menjadi "\ google_cache2.tmp". Kemudian, paket 17 menunjukkan tambang emas informasi: tampaknya pesan selamat datang dari saluran IRC. Bingo! Malware adalah perekrut botnet IRC. Untuk mendapatkan informasi lebih lanjut, saya melihat aliran TCP:
: FBI.GoV PERHATIAN OTOMATIS: *** Mencari nama host Anda ...Jadi, dari sini kita dapat melihat bahwa kata sandi saluran IRC adalah "\ google_cache2.tmp", nama panggilan korban kami adalah NEW {EpicBot-AUT | XP} 085587, saluran yang kami ikuti di% 23Cheese% 23. Semua ini dari analisis lalu lintas Wireshark!
: FBI.GoV PERHATIAN OTOMATIS: *** Tidak dapat menyelesaikan nama host Anda; menggunakan alamat IP Anda
PASS \ google_cache2.tmp
NICK NEW {EpicBot-AUT | XP} 085587
USER 1854 "" "TsGh": 1854
: FBI.GoV 001 BARU {EpicBot-AUT | XP} 085587
: FBI.GoV 002 BARU {EpicBot-AUT | XP} 085587: M0dded oleh uNkn0wn Crew
: FBI.GoV 003 BARU {EpicBot-AUT | XP} 085587
: FBI.GoV 004 BARU {EpicBot-AUT | XP} 085587: uNkn0wn - iD% 40 uNkn0wn
: FBI.GoV 005 BARU {EpicBot-AUT | XP} 085587
: FBI.GoV 005 BARU {EpicBot-AUT | XP} 085587
: FBI.GoV 005 BARU {EpicBot-AUT | XP} 085587
: FBI.GoV 422 BARU {EpicBot-AUT | XP} 085587: File MOTD hilang
GABUNG% 23Cheese% 23
: BARU {EpicBot-AUT | XP} 085587! 1854% 40192.35.222.192 GABUNG:% 23Cheese% 23
PING: FBI.GoV
PONG: FBI.GoV
Sekarang, sebagai orang yang suka berpetualang, saya penasaran dengan botnet ini. Jadi, saya mengambil sendiri untuk mencoba untuk terhubung ke IRC dan memiliki menjarah untuk diri sendiri, semoga berbicara penulis dari malware itu sendiri. Jadi, saya menuju klien IRC web sehingga master botnet tidak akan dapat melihat alamat IP saya sendiri dan mungkin meluncurkan serangan DDos terhadap saya. Saya login menggunakan kata sandi dan informasi lain yang ditemukan dari file paket capture. Saya masuk dan menunggu. Sesekali, saya akan melihat perintah pengguna mengambil bentuk "UDP". Saya berasumsi bahwa dia mengarahkan botnya ke DDos korban dengan paket UDP. Akhirnya, saya benar-benar mulai mengetik, dan menangkap perhatian si botmaster. Percakapan berlangsung seperti ini:
Saya: Halo? Apakah seseorang disana?Pada titik ini, saya boot dari obrolan. Saya pikir pekerjaan saya sudah selesai, jadi saya tidak repot-repot berhubungan kembali. Beberapa hari kemudian, saya memeriksa kembali, dan saluran IRC dan host itu sendiri turun. Kupikir dia mengira dia tertangkap, dan diam saja.
Botmaster: lulz kamu tidak terlalu pintar
Botmaster: kamu harus menggunakan vpn
Saya: Jangan khawatir, saya menggunakan IRC web, jadi saya baik. Jadi apa sebenarnya yang terjadi di sini?
0 komentar:
Post a Comment