快捷搜索:      国际  共赚  理财  歌姬  包贝尔  无关

usdt支付平台(www.caibao.it):若何量身打造恶意软件剖析环境(下篇)

USDT自动充值接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

对于每个恶意软件研究人员来说,通常首先要做的事情就是搭建轻车熟路的恶意软件剖析环境。当所有的系统设置和软件安装完成后,就可以正确地剖析和研究恶意软件了。上一篇文章中,我们为读者先容了若何安装设置虚拟机,接下来,我们继续为读者演示若何网络网络流量等精彩内容。

(接上文)

网络网络流量

在剖析恶意软件时,最幸亏受控环境下运行恶意软件,由于这样可以使恶意软件的操作和C2进入活跃状态。剖析网络流量,是一个异常繁琐的历程,需要在实时网络流量中检测恶意软件挪用。本节将辅助人人设置自己的虚拟机,以动态捕捉被测试的恶意软件的网络流量,除此之外,人人也可以静态地单步调试代码,这样也可以手动考察当前的潜在威胁。

首先必须设置的是MSEdge Windows 10和REMnux之间的虚拟专用网络通讯。

在Windows 10虚拟机上,选择自定义的vmnet2网络(Virtual Machine->Network Adapter->Custom (vmnet2))。

在Windows 10虚拟机上,右键单击任务栏中的网络适配器,然后选择“Open Network & Internet settings”。

选择以太网并单击“Change adapter options”。

右键单击Ethernet0并选择“Properties”。

双击“Internet Protocol Version 4 (TCP/IPv4)”。

通过单选按钮,选择“Use the following IP address:”,然后添加IP地址、子网掩码、默认网关和首选DNS服务器,详细如下所示:

· IP地址:10.1.2.100

· 子网掩码:255.255.255.0

· 默认网关:10.1.2.1。

· 通过单选按钮,选择“Use the following DNS server address:”并添加:

· 首选DNS服务器: 10.1.2.1

单击 “OK”按钮,完成网络设置的设置。

现在,我们已经设置好了虚拟专用网络的REMnux适配器。

虚拟机已经联网,也就是说,它们可以相互通讯了,因此,现在可以在REMnux虚拟机上设置一些工具来捕捉流量了。

实际上,REMnux上已经安装了多种工具,它们都可以用来捕捉网络流量。在这里,我们将使用Burp Suite和INetSim。Burp Suite通常用于测试Web应用程序防火墙,但在本例中,我们希望举行响应的设置,以便当Windows 10运行恶意软件时,它将实验确立到相关域名或C2的毗邻。这些流量有可能使用HTTPS通过Burp Suite,而Burp Suite将绑定到INetSim。INetSim是一个软件套件,可以模拟实验室环境的常见服务,以辅助剖析恶意软件的网络行为。

设置Burp Suite

Burp Suite的设置很简单,但在最先使用之前,我们必须先举行响应的设置:

打开下令提示符,键入下令:$ sudo Burp Suite。

选择暂且项目,然后点击“Next”,再选择“Start Burp”选项。

选择Proxy选项卡,然后选择“Options”选项。在Proxy Listeners下,选择默认接口,然后点击Edit按钮。

在Binding选项卡下,将“Bind to address”设置为Specific address: 10.1.2.1 ,并点击“OK”按钮。

主要步骤:

· 返回MSEDGE Windows 10虚拟机,打开Edge浏览器。

· 在地址栏中输入:http://10.1.2.1:8080。这时应该会看到 "Burp Suite Community Edition"。

· 下载页面右上方的CA证书。

· 打开文件所在目录,双击证书文件。

· 选择“Install Certificate...”。

· 选择“Current User”作为存储位置,点击“Next”按钮。

· 选择“Automatically select the certificate store based on the type of certificate”。点击"Next"按钮,然后点击“Finish”按钮。

· 进入EDGE浏览器的设置步骤,并禁用所有平安功效;这将有助于在下一节测试与INetSim的毗邻。

· 务必确立一个快照。

返回REMnux虚拟机。现在,您应该仍然在“Burp Suite Proxy”选项卡中,下面最先编辑署理监听器选项:

· 在“Request handling”选项卡下,将“Redirect to host”设置为localhost,将“Redirect to port”设置为4443。选中“support for invisible proxying”选项。

· 现在进入“Intercept”选项卡,确保“intercept”选项处于关闭状态。

· 在“Proxy Listeners”下,选择默认值,然后单击“Edit”。

,

Usdt第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

· 在“Binding”选项卡下,选中“Bind to address: Specific address: 10.1.2.1”,但将“Bind”改为443端口。

· 点击“Request handling”选项卡,将“Redirect to host”选项设置为localhost,将“Redirect to port”设置为4443。

· 选择“Support invisible proxying (enable only if needed.)”选项,然后单击“OK”按钮。

设置INetSim

由于REMnux已经预装了INetSim,因此,我们可以直接使用自己喜欢的文本编辑器,打开位于/etc/inetsim/目录中的inetsim.conf文件。根据以下步骤设置INetSim:


小贴士:要注重,恶意软件有可能通过检查这个文件中的所有内容是否都被作废注释来检测它是否在虚拟环境中运行。我还没有遇到过这种情形,但意识到这种可能性是一件好事。固然,您也可以接纳更守旧的方式,只作废对计划使用的服务的注释。

下一步是在inetsim.conf文件中绑定REMnux网络适配器的IP。服务菜单后的下一部门是service_bind_address。作废,号,将默认的IP地址从10.10.10.1改为0.0.0.0。

向下滚动到dns_default_ip部门,作废,并将IP地址从10.10.10.1改为10.1.2.1。

最后要做的是绑定HTTPS端口,这样Burp Suite就可以将流量路由到4443端口。向下滚动到https_bind_port部门,作废,字符并将443替换为4443。

保留所有修改,并退出编辑器。

下一步是运行下面的下令——注重,这些下令异常主要,必须执行,否则INetSim将无法正常事情。Ubuntu提供了一个处置系统剖析的系统服务,它为内陆应用程序提供网络名称剖析。然则,这与INetSim冲突,以是我们需要禁用该服务。

我们必须禁用system-resolve,并对其举行屏障,这样它就不会在重启时自动启动。最后,我们需住手该服务。

        $ sudo systemctl disable systemd-resolved
        $ sudo systemctl mask systemd-resolved
        $ sudo systemctl stop systemd-resolved


最后一步,是运行INetSim:

        $ sudo inetsim

要从Windows 10虚拟机测试网络毗邻,请打开下令提示符并输入ping 10.1.2.1,然后打开Edge浏览器并键入10.1.2.1。您应该看到以下信息:“This is the default HTML page for INetSim HTTP server fake mode.”。

最后一项测试是确保DNS正常事情,并能为响应的请求提供服务。对于本例来说,我为此在搜索栏中键入了https://www.mymaliciousdomain.com/malwaretrojan.exe。若是一切正常,应该看到一个网页忠告,指出请求的网站并不平安。

我还喜欢在观察恶意软件时使用Wireshark捕捉数据包来剖析pcaps。

在REMnux的终端中打开一个新的窗口,并键入$ wireshark。

应用程序打开后,点击工具栏最左边的鲨鱼鳍图标,最先捕捉数据包。

“引爆”恶意软件

当恶意软件被执行时,它通常会向某个域名或IP地址发出一些请求。INetSim通过伪造正在守候响应的恶意软件的响应来辅助解决这个问题。一个例子是,若是恶意软件被执行并毗邻到一个域,除非知足条件(也就是收到响应),否则不会在没有响应的情形下继续运行后续恶意操作。若是恶意软件没有收到响应,就会终止,不会继续其恶意行为。这正是实时环境的用武之地:响应恶意软件的“呼叫”,并捕捉网络流量。

作为实验室环境设置的最后一步,我们将“引爆”一个臭名昭著的二进制木马(或任何您自己选择的恶意软件)来测试设置是否能够正常事情。

我们将通过二进制恶意软件Trickbot(SHA256:49d95cae096f7f73b3539568b450076227b4ca42c0240044a7588ddc1f1b6985)举行测试。在这里,已经打开了Process Explorer和TCPView来监控Trickbot这个变种的执行情形。

在深入睁开逆向剖析之前,“引爆”恶意软件可以节约许多时间,由于由于这样可以网络要害信息,从而做出一个无偏见的假设。在这个例子中,当我们引爆这个trickbot样本时,有三个“callout”很显眼。

这些callout是为了从微软更新站点获取文件;获取这些cab文件的是一个没有可信证书的自动更新器。证书信托列表是一个由受信托实体署名的预定义项目列表。这些被请求的cab文件是用来更新和扩展现有的功效,方式是使用证书信托列表将已知不受信托的证书添加到不受信托的证书存储区。

只管Trickbot是当今分支最多的恶意软件之一,而且其callout也更为庞大,但若是您正处于研究的最先阶段而且从未遇到过这种二进制文件,那么Trickbot是一个很好的起点。

我已经乐成使用该实验室设置许多年了。早在2016年,当我临危受命处置一起突发事宜时,该实验室的搭建方式就派上用场了。那时,我没有时间对二进制文件举行开端分类,由于那时在加入一个电话会议,由观察组负责人做简要汇报。我立刻通过快照启动了这两个虚拟机,并在领会事宜最新情形的同时引爆了二进制文件。在5分钟内,我通知了观察负责人有关该二进制文件所呼叫的IP的信息,这足以使威胁猎人迈出主要的一步。竣事电话会议之后,我最先对该恶意软件举行逆向剖析,并提取了其他IOC和TTP。

小结

在差别的恶意软件剖析情形下,实验室环境的搭建和设置会有所差别。剖析恶意软件时,您需要使用差别的工具举行剖析和深入剖析。我希望本文先容的SentinelLabs RevCore Tools和相关设置能够为您提供辅助,但有时您可能需要剖析一些差别的内容,而且可能需要其他工具来对二进制文件举行反汇编处置。逆向剖析恶意软件的历程是一场马拉松,而不是短跑;我们的目的应该是提高自身的技术,并从剖析的每种恶意软件中学习新的知识和技术。

参考资料

https://support.microsoft.com/en-us/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window

https://askubuntu.com/questions/191226/dnsmasq-failed-to-create-listening-socket-for-port-53-address-already-in-use

https://gallery.technet.microsoft.com/scriptcenter/Change-the-Desktop-b5b2141c

https://gist.github.com/trietptm/b84ccad9db01f459ac7


本文翻译自:https://labs.sentinelone.com/building-a-custom-malware-analysis-lab-environment/:
发表评论
诚信在线声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: