✅ Інструменти аналізу зловмисних програм - Уникнення та визначення кібератак

Вступ до інструментів аналізу зловмисних програм

Вступ до інструментів аналізу зловмисних програм

Переваг використання комп’ютерів для службових та особистих цілей багато, але існують і загрози, пов'язані з шахрайством, що діє в Інтернеті. Такі шахрайства називаються кіберзлочинцями. Вони крадуть нашу особистість та іншу інформацію, створюючи шкідливі програми, звані шкідливим програмним забезпеченням. Процес аналізу та визначення мети та функціональності зловмисного програмного забезпечення називається аналізом зловмисного програмного забезпечення. Зловмисне програмне забезпечення складається із шкідливих кодів, які слід виявити за допомогою ефективних методів, а аналіз шкідливих програм використовується для розробки цих методів виявлення. Аналіз зловмисного програмного забезпечення також є важливим для розробки інструментів видалення зловмисних програм після виявлення шкідливих кодів.

Інструменти аналізу зловмисних програм

Нижче наведено деякі інструменти та методи аналізу зловмисних програм:

1. PEiD

Кіберзлочинці намагаються запакувати свою шкідливу програму, щоб її було важко визначити та проаналізувати. Додаток, який використовується для виявлення таких упакованих чи зашифрованих зловмисних програм - це PEiD. Користувач dB - це текстовий файл, з якого завантажуються файли PE і 470 форм різних підписів у файлах PE можуть бути виявлені PEiD.

2. Залежність ходунка

Модулі 32-бітних та 64-бітних вікон можна сканувати за допомогою програми під назвою Dependency walker. Функції модуля, які імпортуються та експортуються, можуть бути перераховані за допомогою прогулянкової залежності. Залежності файлів можуть також відображатися за допомогою прогулянкової залежності, і це зводить необхідний набір файлів до мінімуму. Інформація, що міститься в цих файлах, як шлях до файлу, номер версії тощо, також може відображатися за допомогою прогулянкової залежності. Це безкоштовна програма.

3. Ресурсний хакер

Ресурси з бінарних файлів Windows можна витягти за допомогою програми під назвою Resource Hacker. Витяг, додавання, модифікація ресурсів, таких як рядки, зображення тощо, можна здійснити за допомогою хакера на ресурси. Це безкоштовна програма.

4. PEview

Заголовки файлів портативних виконуваних файлів складаються з інформації разом з іншими розділами файлу, і ця інформація може бути доступна за допомогою програми під назвою PEview. Це безкоштовна програма.

5. FileAlyzer

FileAlyzer - це також інструмент для доступу до інформації в заголовках файлів портативних виконуваних файлів разом з іншими розділами файлу, але FileAlyzer надає більше функцій та функцій порівняно з PEview. Деякі функції: VirusTotal для аналізу приймає зловмисне програмне забезпечення з вкладки VirusTotal, а функції розпаковують UPX та інші файли, які запаковані.

6. SysAnalyzer Github Repo

За допомогою програми під назвою SysAnalyzer відстежуються різні аспекти стану системи та стану процесів. Ця програма використовується для аналізу часу виконання. Аналітики за допомогою SysAnalyzer повідомляють аналітики про дії, що вживаються бінарними в системі.

7. Regshot 1.9.0

Regshot - це утиліта, яка порівнює реєстр після того, як системні зміни проводяться з реєстром до зміни системи.

8. Проводка

Аналіз мережевих пакетів проводиться через Wireshark. Мережеві пакети захоплюються, а дані, що містяться в пакетах, відображаються.

9. Інтернет-сервіс Robtex

Аналіз Інтернет-провайдерів, доменів, структури мережі проводиться за допомогою інструменту онлайн-сервісу Robtex.

10. VirusTotal

Аналіз файлів, URL-адрес для виявлення вірусів, черв’яків тощо проводиться за допомогою сервісу VirusTotal.

11. Мобільний пісочник

Аналіз зловмисного програмного забезпечення смартфонів операційної системи Android проводиться за допомогою мобільного пісочниці.

12. Мальзіла

Зловмисні сторінки досліджуються програмою під назвою Malzilla. Використовуючи malzilla, ми можемо вибрати наш користувальницький агент і реферала, а malzilla може використовувати проксі. Джерело, з якого отримуються веб-сторінки та заголовки HTTP, відображається програмою malzilla.

13. Нестабільність

Артефакти в енергонезалежній пам'яті також називаються оперативною пам'яттю, які є цифровими, витягуються за допомогою системи Volatility, і це колекція інструментів.

14. APKTool

Програми для Android можна реверсувати за допомогою APKTool. Ресурси можуть бути розшифровані до їх первісної форми і можуть бути відновлені з необхідними змінами.

15. Dex2Jar

Виконаний формат Android Dalvik можна прочитати за допомогою Dex2Jar. Інструкції dex читаються у форматі dex-ir і можуть бути змінені на формат ASM.

16. Смалі

У реалізації віртуальної машини Dalvik та Android використовується формат dex, і його можна зібрати або розібрати за допомогою Smali.

17. PeePDF

Шкідливі PDF-файли можна визначити за допомогою інструменту PeePDF, написаного мовою python.

18. Пісочниця зозулі

Аналіз підозрілих файлів може бути автоматизований за допомогою пісочниці зозулі.

19. Droidbox

Програми Android можна проаналізувати за допомогою дроїдбокса.

20. Мальви

База даних, що складається з усіх видів зловмисного програмного забезпечення, кроки аналізу можна підтримувати за допомогою інструменту зловмисного програмного забезпечення, і цей інструмент заснований на пісочниці зозулі.

21. Правила Яри

Класифікація зловмисного програмного забезпечення, заснованого на текстовій чи двійковій формі після їх аналізу інструментом Зозуля, проводиться інструментом під назвою Yara. Описи шкідливих програм на основі шаблонів написані за допомогою Yara. Інструмент називається Yara Rules, оскільки ці описи називаються правилами. Абревіатура Yara - це ще одна рекурсивна абревіатура.

22. Швидке реагування Google (GRR)

Сліди, залишені шкідливим програмним забезпеченням на конкретних робочих станціях, аналізуються в рамках системи швидкого реагування Google. Дослідники, що належать до безпеки, їли Google, розробили цю основу. Цільова система складається з агента Google Rapid Response і агент взаємодіє з сервером. Після розгортання сервера та агента вони стають клієнтами GRR та полегшують дослідження кожної системи.

23. REMnux

Цей інструмент призначений для реверсування шкідливих програм інженерів. Він поєднує кілька інструментів в один, щоб легко визначити шкідливе програмне забезпечення на основі Windows та Linux. Він використовується для дослідження зловмисного програмного забезпечення, яке базується на веб-переглядачі, проведення криміналістичної роботи на пам’яті, аналізу різноманітних зловмисних програм тощо. Підозрілі елементи також можуть бути вилучені та розшифровані за допомогою REMnux.

25. Брат

Рамка bro є потужною і базується на мережі. Трафік в мережі перетворюється на події, що в свою чергу може викликати сценарії. Bro схожа на систему виявлення вторгнень (IDS), але його функціональні можливості кращі, ніж IDS. Він використовується для проведення криміналістичних розслідувань, моніторингу мереж тощо.

Висновок

Аналіз шкідливих програм відіграє важливу роль у запобіганні та визначенні кібератак. Експерти з питань кібербезпеки використовували аналіз шкідливих програм вручну до п'ятнадцяти років, і це був трудомісткий процес, але зараз фахівці з питань кібербезпеки можуть проаналізувати життєвий цикл зловмисного програмного забезпечення за допомогою інструментів аналізу зловмисних програм, тим самим збільшуючи розвідку про загрози.