SlideShare a Scribd company logo

Сам собі sandbox або як перевіряти файли

Vladyslav Radetsky
Vladyslav Radetsky

Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту: • Розглянув роботу з документами MS Office, PDF, LNK та архівами. • Показав основні типи активної начинки, через яку пробують інфікувати системи. • Показав роботу з онлайн інструментами та з інструментами статичного аналізу. • Дав поради по налаштуванню тестового середовища. Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205 Будьте здорові, уважні та обережні. Слава Україні. #OptiData #InformationSecurity #Security #Інформаційнабезпека #безпека #malware #sandbox #перевірка #аналіз #пісочниця

Technology
1 of 49
Download to read offline
Владислав Радецький vr@optidata.com.ua Особливості перевірки файлів (як зробити власний sandbox) 26 / 03 / 2024
Хто я такий ? Мене звати Влад. Я працюю у компанії OptiData Аналізую віруси під Windows. Часом пишу статті. Проводжу навчання з різних аспектів ІБ Займаюсь проектуванням, впровадженням та супроводом різних систем захисту. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad slideshare.net/Glok17
1. Якщо вам сподобається – розкажіть друзям та знайомим 2. По можливості - не відволікайтеся на телефон 3. Кожне Ваше запитання важливе, тому, будь ласка, пишіть їх у чат – а я з радістю відповім на них після своєї розповіді. Регламент:
✓ пісочниця (sandbox) - комплекс для перевірки файлів (HW, VM, cloud) ✓ віртуалка (ВМ) - віртуальна машина, тестове середовище ✓ снепшот - зліпок (знімок) стану ВМ, дозволяє відкотитись ✓ семпл (зразок) - файл який потрібно перевірити ✓ детонація - запуск файлу, початок інфікування ✓ malware (ШПЗ) - комп'ютерний вірус ✓ маркери (IOC) - ІР, хеші, та інші ознаки активності вірусу ✓ приманка (decoy) - документ, скрипт, ярлик … ✓ скомпрометований - зламаний, такий що зазнав втручання Словничок:
1. Сценарії та задачі аналізу 2. До чого бути готовим ? 3. Інструменти перевірки 4. Пісочниці – які бувають, їх переваги та недоліки 5. Створення власної пісочниці 6. Висновки Про що я хочу з вами поговорити:
1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC) Чим поламана система відрізняється від неушкодженої ?
1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: Знати інструменти та формати файлів Знати тактики malware щоб обманути їх конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму
1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ➢ Можна скористатись улюбленими онлайн інструментами ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ➢ Знадобиться додаткова перевірка ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму ➢ Заборона на онлайн інструменти. Тільки вручну. Тільки хардкор.
2. До чого бути готовим ?
2. До чого бути готовим ?
2. До чого бути готовим ?
2. До чого бути готовим ? ✓ exe , scr , msi в різних архівах, з паролем та без ✓ скрипти (js, vbs …) , hta , lnk , url ✓ Документи MS Office та PDF з активною начинкою ✓ Інше
2. До чого бути готовим ? ✓ Документи RTF ▪ Редактор формул (CVE-2017-11882) ▪ OLE об'єкти (CVE-2017-0199) ✓ Документи DOCX, XLSX, PPTX ▪ Шаблони (1221) ▪ Макроси ✓ Документи PDF ▪ Java Script ▪ Вбудовані об'єкти (exe, документи з макросами …)
2. До чого бути готовим ? Що можуть запхати у MS Office Template Injection T1221 VBA Macro 2017-11882, EQUATION
Увага! Додаткова інформація #1 ✓ Philippe Lagadec - Weaponized MS Office 97-2003 legacy/binary formats ✓ Philippe Lagadec - Weaponized PDF - Payload Delivery Format ✓ Ryan Chapman - CFWorkshop DefCon 27 (2019) ✓ Didier Stevens - Analyzing a “multilayer” Maldoc ✓ Nicole Fishbein - How to Analyze Malicious Microsoft Office Files ✓ Josh Stroschein - Summary of Samples
Увага! Додаткова інформація #2 Мої матеріали по зразкам malware на slideshare: ✓ Невивчені уроки або логи антивірусних війн (2018) ✓ Логи (анти)вірусних війн (2020) ✓ Як не стати жертвою ? (2020) ✓ Практичні рецепти захисту (2021)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний) ✓ VirusTotal - перевірка по AV виробникам, не завжди точний ✓ Docguard - статичний аналіз документів, пошук активного вмісту ✓ Triage - якісний інтерактив (з відповідними обмеженнями) ✓ UnpacMe - розпаковка ЕХЕ ✓ Intezer Analyze - статичний аналіз ЕХЕ, пошук співпадіння по інструкціям
Послідовність дій з перевірки не секретного документу MS Office або PDF: ✓ Вивантажити файл на VirusTotal (але не орієнтуватися на рейтинг 0/60) ✓ Вивантажити файл на Docguard та отримати чіткий вердикт по активному вмісту ✓ За потреби повного аналізу вивантажити файл на Triage (результат може бути “0”) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег … 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний) ✓ file - NIX команда для визначення типу файлу ✓ exiftool - вичитка метаданих з файлів ✓ oletools - статичний аналіз документів MS Office ✓ pdfid - статичний аналіз PDF документів ✓ pdfinfo - статичний аналіз PDF документів #2
3. Інструменти перевірки – офлайн (коли файл конфіденційний) Послідовність дій з перевірки конфіденційного документу MS Office або PDF: ✓ Визначити справжній тип файлу (не за розширенням) ✓ Перевірити метадані на предмет аномалій (час редагування, компанія, автор) ✓ Перевірити наявність активного вмісту (макроси, об'єкти, скрипти, посилання) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег …
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
4. Пісочниці – які бувають, їх переваги та недоліки ✓ 90% Sandbox = гіпервізор 1го типу + додаткові функції ✓ malware детонує в “чистій” зоні – тестова ВМ (Win/NIX/macOS) ✓ Ефективність залежить від якості імітації реальної системи ✓ Слабка кастомізація ОС > помилки при детонації malware
✓ Стокові образи уже відомі авторам malware ✓ Без перехоплень запитів malware виявить віртуалізацію ✓ Конкретні версії ОС, локалі, обмежений об'єм HDD ✓ Відсутність імітації мережевого оточення (AD, Exchange etc) 4. Пісочниці – які бувають, їх переваги та недоліки
Корпоративні ($) Публічні (хмарні) 4. Пісочниці – які бувають, їх переваги та недоліки
• Хмарні (публічні): - краще заточені на динаміку ✓ Cuckoo , CAPE, Triage ✓ Hybrid Analysis (колишня Payload Security) ✓ AnyRun (розробка РФ!) • Наземні (корпоративні): - динаміка + статичний ✓ Trellix (McAfee) Intelligent Sandbox ✓ Palo Alto WildFire ✓ CrowdStrike Falcon X (по суті прокачаний Hybrid Analysis) ✓ Trend Micro Deep Discovery Analyzer . . . 4. Пісочниці – які бувають, їх переваги та недоліки
1. AnyRun - РФ | якісні звіти, інтерактив 2. HybridAnalysis - США (CrowdStrike) | слабкі звіти, слабкий захист 3. Triage - Голландія | якісні звіти, екстракт конфігу(!) 4. CAPE / Cuckoo - open-source | opensource, без інтерактиву 5. JOESandbox - Швейцарія | складні звіти, екстракт конфігу(!) 4. Пісочниці – які бувають, їх переваги та недоліки
1. Trellix (ex. McAfee) - США | якісна кастомізація ОС 2. Palo Alto - США | слабка кастомізація ОС, заточена NGFW 3. CrowdStrike - США | слабкі звіти, слабкий захист 4. Trend Micro - Японія | якісна кастомізація ОС, тільки наземна 4. Пісочниці – які бувають, їх переваги та недоліки
1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи
1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи З цим публічні пісочниці можуть впоратись (але не завжди) Тут потрібна тільки комерційна пісочниця ($$) або власна ВМ
5. Створення власної пісочниці Чиста зона Семпл Брудна зона Основний снепшот Робочий снепшот Детонація Після кожного запуску іде фіксація результатів, потім - відкат
5. Створення власної пісочниці ✓ Нам знадобиться віртуалка з Windows 7 (легша) або 10-11 (важча) ✓ В якості гіпервізора краще QEMU або Oracle VirtualBox ✓ Ця ВМ має бути без гостьових утиліт, без оновлення, телеметрії та захисту ✓ В цій ВМ має бути пара користувачів (звичайний та Адмін) ✓ Цю ВМ потрібно буде добряче “поюзати” щоб згенерувати історію дій
✓ .Net 4.6(8) , JRE 8.15 , C++ 10-12-19 , DirectX – обов'язково ✓ Перед створенням першого (чистого) снепшоту – аптайм 2-4 години ✓ Історія активності (документи, додатки, хісторі браузера) ✓ Документи не просто скопіювати, а відкрити, змінити, зберегти ✓ По можливості зачистити усі сліди віртуалізації* Pafish 5. Створення власної пісочниці
5. Створення власної пісочниці
5. Створення власної пісочниці
5. Створення власної пісочниці
6. Висновки ✓ Варто вміти користуватися різними інструментами та методиками ✓ Якісний аналіз - мінімум 2 (а краще 3) підтвердження отриманих маркерів ✓ Статичний аналіз дає 50% результату, але для точності потрібна динаміка ✓ Якість аналізу дуже залежить від імітації реальної системи ✓ Краще завжди мати власну віртуалку під рукою
Вітаю, ви прослухали матеріал повністю ? Ті, у кого залишилися запитання – я побуду з вами. Усім іншим – дякую за ваш час та вашу увагу.
Дякую вам за увагу! Слава Україні!

Recommended

Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
Програмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиПрограмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиOlenka_Pavliuk
 
Системне програмне забезпечення
Системне програмне забезпеченняСистемне програмне забезпечення
Системне програмне забезпеченняbondarvm
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 

Recommended

Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
Програмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиПрограмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиOlenka_Pavliuk
 
Системне програмне забезпечення
Системне програмне забезпеченняСистемне програмне забезпечення
Системне програмне забезпеченняbondarvm
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 
резервуння даних
резервуння данихрезервуння даних
резервуння данихTamara tamara
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дисками1cana1
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дискамиAnatoliy_Polishchuk
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дискамиAnatoliy_Polishchuk
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
 
шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayAlexey Yankovski
 
комп’ютерні віруси та антивірусні програми
комп’ютерні віруси та антивірусні програмикомп’ютерні віруси та антивірусні програми
комп’ютерні віруси та антивірусні програмиВолодимир-Волинська загальноосвітня школа І-ІІІ ступенів №2
 
віруси та антивіруси
віруси та антивірусивіруси та антивіруси
віруси та антивірусиВолодимир-Волинська загальноосвітня школа І-ІІІ ступенів №2
 
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов АндрійOleg Nazarevych
 
Black Tea Testing #2 - Захист ПЗ: Розробка і тестування
Black Tea Testing #2 - Захист ПЗ: Розробка і тестуванняBlack Tea Testing #2 - Захист ПЗ: Розробка і тестування
Black Tea Testing #2 - Захист ПЗ: Розробка і тестуванняAntonina_Burlachenko
 
Шкідливе програмне забезпечення
Шкідливе програмне забезпеченняШкідливе програмне забезпечення
Шкідливе програмне забезпеченняInna Gornikova
 
Комп'ютерні івіруси. Презентація уроку 9 клас.
Комп'ютерні івіруси. Презентація уроку 9 клас.Комп'ютерні івіруси. Презентація уроку 9 клас.
Комп'ютерні івіруси. Презентація уроку 9 клас.Олександр Душейко
 
Криміналістичні дослідження шкідливого програмного забезпечення
Криміналістичні дослідження шкідливого програмного забезпеченняКриміналістичні дослідження шкідливого програмного забезпечення
Криміналістичні дослідження шкідливого програмного забезпеченняЛаборатория компьютерной криминалистики CyberLab
 
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївПрограмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївjap2006
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Webkatiee_sm
 
Less15
Less15Less15
Less15Nikolay Shaygorodskiy
 
урок 6
урок 6урок 6
урок 6School5uman
 
віруси
вірусивіруси
вірусиugymnasium
 
архіватор (стихальська, остроух)
архіватор (стихальська, остроух)архіватор (стихальська, остроух)
архіватор (стихальська, остроух)yana_stykhalska
 
The Revenant: Legend of ProZorro
The Revenant: Legend of ProZorroThe Revenant: Legend of ProZorro
The Revenant: Legend of ProZorroСистема електронних державних закупівель Prozorro
 
2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 

More Related Content

Similar to Сам собі sandbox або як перевіряти файли

резервуння даних
резервуння данихрезервуння даних
резервуння данихTamara tamara
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дисками1cana1
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дискамиAnatoliy_Polishchuk
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дискамиAnatoliy_Polishchuk
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
 
шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayAlexey Yankovski
 
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов АндрійOleg Nazarevych
 
Black Tea Testing #2 - Захист ПЗ: Розробка і тестування
Black Tea Testing #2 - Захист ПЗ: Розробка і тестуванняBlack Tea Testing #2 - Захист ПЗ: Розробка і тестування
Black Tea Testing #2 - Захист ПЗ: Розробка і тестуванняAntonina_Burlachenko
 
Шкідливе програмне забезпечення
Шкідливе програмне забезпеченняШкідливе програмне забезпечення
Шкідливе програмне забезпеченняInna Gornikova
 
Комп'ютерні івіруси. Презентація уроку 9 клас.
Комп'ютерні івіруси. Презентація уроку 9 клас.Комп'ютерні івіруси. Презентація уроку 9 клас.
Комп'ютерні івіруси. Презентація уроку 9 клас.Олександр Душейко
 
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївПрограмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївjap2006
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Webkatiee_sm
 
архіватор (стихальська, остроух)
архіватор (стихальська, остроух)архіватор (стихальська, остроух)
архіватор (стихальська, остроух)yana_stykhalska
 

Similar to Сам собі sandbox або як перевіряти файли (20)

резервуння даних
резервуння данихрезервуння даних
резервуння даних
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дисками
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дисками
 
основи роботи з дисками
основи роботи з дискамиоснови роботи з дисками
основи роботи з дисками
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук
 
шаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ayшаблон стримування та відновдення 01 ay
шаблон стримування та відновдення 01 ay
 
комп’ютерні віруси та антивірусні програми
комп’ютерні віруси та антивірусні програмикомп’ютерні віруси та антивірусні програми
комп’ютерні віруси та антивірусні програми
 
віруси та антивіруси
віруси та антивірусивіруси та антивіруси
віруси та антивіруси
 
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов Андрій
 
Black Tea Testing #2 - Захист ПЗ: Розробка і тестування
Black Tea Testing #2 - Захист ПЗ: Розробка і тестуванняBlack Tea Testing #2 - Захист ПЗ: Розробка і тестування
Black Tea Testing #2 - Захист ПЗ: Розробка і тестування
 
Шкідливе програмне забезпечення
Шкідливе програмне забезпеченняШкідливе програмне забезпечення
Шкідливе програмне забезпечення
 
Комп'ютерні івіруси. Презентація уроку 9 клас.
Комп'ютерні івіруси. Презентація уроку 9 клас.Комп'ютерні івіруси. Презентація уроку 9 клас.
Комп'ютерні івіруси. Презентація уроку 9 клас.
 
Криміналістичні дослідження шкідливого програмного забезпечення
Криміналістичні дослідження шкідливого програмного забезпеченняКриміналістичні дослідження шкідливого програмного забезпечення
Криміналістичні дослідження шкідливого програмного забезпечення
 
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївПрограмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Web
 
Less15
Less15Less15
Less15
 
урок 6
урок 6урок 6
урок 6
 
віруси
вірусивіруси
віруси
 
архіватор (стихальська, остроух)
архіватор (стихальська, остроух)архіватор (стихальська, остроух)
архіватор (стихальська, остроух)
 
The Revenant: Legend of ProZorro
The Revenant: Legend of ProZorroThe Revenant: Legend of ProZorro
The Revenant: Legend of ProZorro
 

More from Vladyslav Radetsky

2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Vladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"Vladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Vladyslav Radetsky
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLPVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Vladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Vladyslav Radetsky
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атакиVladyslav Radetsky
 

More from Vladyslav Radetsky (20)

2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефону
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерів
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захисту
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБ
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLP
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафіку
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware.
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атаки
 
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1
 

Сам собі sandbox або як перевіряти файли

  • 1. Владислав Радецький vr@optidata.com.ua Особливості перевірки файлів (як зробити власний sandbox) 26 / 03 / 2024
  • 2. Хто я такий ? Мене звати Влад. Я працюю у компанії OptiData Аналізую віруси під Windows. Часом пишу статті. Проводжу навчання з різних аспектів ІБ Займаюсь проектуванням, впровадженням та супроводом різних систем захисту. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad slideshare.net/Glok17
  • 3. 1. Якщо вам сподобається – розкажіть друзям та знайомим 2. По можливості - не відволікайтеся на телефон 3. Кожне Ваше запитання важливе, тому, будь ласка, пишіть їх у чат – а я з радістю відповім на них після своєї розповіді. Регламент:
  • 4. ✓ пісочниця (sandbox) - комплекс для перевірки файлів (HW, VM, cloud) ✓ віртуалка (ВМ) - віртуальна машина, тестове середовище ✓ снепшот - зліпок (знімок) стану ВМ, дозволяє відкотитись ✓ семпл (зразок) - файл який потрібно перевірити ✓ детонація - запуск файлу, початок інфікування ✓ malware (ШПЗ) - комп'ютерний вірус ✓ маркери (IOC) - ІР, хеші, та інші ознаки активності вірусу ✓ приманка (decoy) - документ, скрипт, ярлик … ✓ скомпрометований - зламаний, такий що зазнав втручання Словничок:
  • 5. 1. Сценарії та задачі аналізу 2. До чого бути готовим ? 3. Інструменти перевірки 4. Пісочниці – які бувають, їх переваги та недоліки 5. Створення власної пісочниці 6. Висновки Про що я хочу з вами поговорити:
  • 6. 1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
  • 7. 1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC) Чим поламана система відрізняється від неушкодженої ?
  • 8. 1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: Знати інструменти та формати файлів Знати тактики malware щоб обманути їх конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
  • 9. 1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму
  • 10. 1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ➢ Можна скористатись улюбленими онлайн інструментами ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ➢ Знадобиться додаткова перевірка ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму ➢ Заборона на онлайн інструменти. Тільки вручну. Тільки хардкор.
  • 11. 2. До чого бути готовим ?
  • 12. 2. До чого бути готовим ?
  • 13. 2. До чого бути готовим ?
  • 14. 2. До чого бути готовим ? ✓ exe , scr , msi в різних архівах, з паролем та без ✓ скрипти (js, vbs …) , hta , lnk , url ✓ Документи MS Office та PDF з активною начинкою ✓ Інше
  • 15. 2. До чого бути готовим ? ✓ Документи RTF ▪ Редактор формул (CVE-2017-11882) ▪ OLE об'єкти (CVE-2017-0199) ✓ Документи DOCX, XLSX, PPTX ▪ Шаблони (1221) ▪ Макроси ✓ Документи PDF ▪ Java Script ▪ Вбудовані об'єкти (exe, документи з макросами …)
  • 16. 2. До чого бути готовим ? Що можуть запхати у MS Office Template Injection T1221 VBA Macro 2017-11882, EQUATION
  • 17. Увага! Додаткова інформація #1 ✓ Philippe Lagadec - Weaponized MS Office 97-2003 legacy/binary formats ✓ Philippe Lagadec - Weaponized PDF - Payload Delivery Format ✓ Ryan Chapman - CFWorkshop DefCon 27 (2019) ✓ Didier Stevens - Analyzing a “multilayer” Maldoc ✓ Nicole Fishbein - How to Analyze Malicious Microsoft Office Files ✓ Josh Stroschein - Summary of Samples
  • 18. Увага! Додаткова інформація #2 Мої матеріали по зразкам malware на slideshare: ✓ Невивчені уроки або логи антивірусних війн (2018) ✓ Логи (анти)вірусних війн (2020) ✓ Як не стати жертвою ? (2020) ✓ Практичні рецепти захисту (2021)
  • 19. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний) ✓ VirusTotal - перевірка по AV виробникам, не завжди точний ✓ Docguard - статичний аналіз документів, пошук активного вмісту ✓ Triage - якісний інтерактив (з відповідними обмеженнями) ✓ UnpacMe - розпаковка ЕХЕ ✓ Intezer Analyze - статичний аналіз ЕХЕ, пошук співпадіння по інструкціям
  • 20. Послідовність дій з перевірки не секретного документу MS Office або PDF: ✓ Вивантажити файл на VirusTotal (але не орієнтуватися на рейтинг 0/60) ✓ Вивантажити файл на Docguard та отримати чіткий вердикт по активному вмісту ✓ За потреби повного аналізу вивантажити файл на Triage (результат може бути “0”) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег … 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 21. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 22. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 23. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 24. 3. Інструменти перевірки – офлайн (коли файл конфіденційний) ✓ file - NIX команда для визначення типу файлу ✓ exiftool - вичитка метаданих з файлів ✓ oletools - статичний аналіз документів MS Office ✓ pdfid - статичний аналіз PDF документів ✓ pdfinfo - статичний аналіз PDF документів #2
  • 25. 3. Інструменти перевірки – офлайн (коли файл конфіденційний) Послідовність дій з перевірки конфіденційного документу MS Office або PDF: ✓ Визначити справжній тип файлу (не за розширенням) ✓ Перевірити метадані на предмет аномалій (час редагування, компанія, автор) ✓ Перевірити наявність активного вмісту (макроси, об'єкти, скрипти, посилання) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег …
  • 26. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 27. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 28. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 29. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 30. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 31. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 32. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 33. 4. Пісочниці – які бувають, їх переваги та недоліки ✓ 90% Sandbox = гіпервізор 1го типу + додаткові функції ✓ malware детонує в “чистій” зоні – тестова ВМ (Win/NIX/macOS) ✓ Ефективність залежить від якості імітації реальної системи ✓ Слабка кастомізація ОС > помилки при детонації malware
  • 34. ✓ Стокові образи уже відомі авторам malware ✓ Без перехоплень запитів malware виявить віртуалізацію ✓ Конкретні версії ОС, локалі, обмежений об'єм HDD ✓ Відсутність імітації мережевого оточення (AD, Exchange etc) 4. Пісочниці – які бувають, їх переваги та недоліки
  • 35. Корпоративні ($) Публічні (хмарні) 4. Пісочниці – які бувають, їх переваги та недоліки
  • 36. • Хмарні (публічні): - краще заточені на динаміку ✓ Cuckoo , CAPE, Triage ✓ Hybrid Analysis (колишня Payload Security) ✓ AnyRun (розробка РФ!) • Наземні (корпоративні): - динаміка + статичний ✓ Trellix (McAfee) Intelligent Sandbox ✓ Palo Alto WildFire ✓ CrowdStrike Falcon X (по суті прокачаний Hybrid Analysis) ✓ Trend Micro Deep Discovery Analyzer . . . 4. Пісочниці – які бувають, їх переваги та недоліки
  • 37. 1. AnyRun - РФ | якісні звіти, інтерактив 2. HybridAnalysis - США (CrowdStrike) | слабкі звіти, слабкий захист 3. Triage - Голландія | якісні звіти, екстракт конфігу(!) 4. CAPE / Cuckoo - open-source | opensource, без інтерактиву 5. JOESandbox - Швейцарія | складні звіти, екстракт конфігу(!) 4. Пісочниці – які бувають, їх переваги та недоліки
  • 38. 1. Trellix (ex. McAfee) - США | якісна кастомізація ОС 2. Palo Alto - США | слабка кастомізація ОС, заточена NGFW 3. CrowdStrike - США | слабкі звіти, слабкий захист 4. Trend Micro - Японія | якісна кастомізація ОС, тільки наземна 4. Пісочниці – які бувають, їх переваги та недоліки
  • 39. 1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи
  • 40. 1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи З цим публічні пісочниці можуть впоратись (але не завжди) Тут потрібна тільки комерційна пісочниця ($$) або власна ВМ
  • 41. 5. Створення власної пісочниці Чиста зона Семпл Брудна зона Основний снепшот Робочий снепшот Детонація Після кожного запуску іде фіксація результатів, потім - відкат
  • 42. 5. Створення власної пісочниці ✓ Нам знадобиться віртуалка з Windows 7 (легша) або 10-11 (важча) ✓ В якості гіпервізора краще QEMU або Oracle VirtualBox ✓ Ця ВМ має бути без гостьових утиліт, без оновлення, телеметрії та захисту ✓ В цій ВМ має бути пара користувачів (звичайний та Адмін) ✓ Цю ВМ потрібно буде добряче “поюзати” щоб згенерувати історію дій
  • 43. ✓ .Net 4.6(8) , JRE 8.15 , C++ 10-12-19 , DirectX – обов'язково ✓ Перед створенням першого (чистого) снепшоту – аптайм 2-4 години ✓ Історія активності (документи, додатки, хісторі браузера) ✓ Документи не просто скопіювати, а відкрити, змінити, зберегти ✓ По можливості зачистити усі сліди віртуалізації* Pafish 5. Створення власної пісочниці
  • 47. 6. Висновки ✓ Варто вміти користуватися різними інструментами та методиками ✓ Якісний аналіз - мінімум 2 (а краще 3) підтвердження отриманих маркерів ✓ Статичний аналіз дає 50% результату, але для точності потрібна динаміка ✓ Якість аналізу дуже залежить від імітації реальної системи ✓ Краще завжди мати власну віртуалку під рукою
  • 48. Вітаю, ви прослухали матеріал повністю ? Ті, у кого залишилися запитання – я побуду з вами. Усім іншим – дякую за ваш час та вашу увагу.
  • 49. Дякую вам за увагу! Слава Україні!