Alvorens op malware te jagen, moet elke onderzoeker een systeem vinden om het te analyseren. Er zijn verschillende manieren om dit te doen: bouw uw eigen omgeving of gebruik oplossingen van derden. Vandaag zullen we alle stappen doorlopen voor het maken van een aangepaste malware-sandbox waar u een goede analyse kunt uitvoeren zonder uw computer te infecteren. En vergelijk het dan met een kant en klare dienst.
Waarom heb je een malware-sandbox nodig?
Met een sandbox kunnen cyberdreigingen worden gedetecteerd en veilig worden geanalyseerd. Alle informatie blijft veilig en een verdacht bestand heeft geen toegang tot het systeem. U kunt malwareprocessen volgen, hun patronen identificeren en gedrag onderzoeken.
Voordat u een sandbox opzet, moet u een duidelijk doel hebben van wat u met het lab wilt bereiken.
Er zijn twee manieren om uw werkruimte voor analyse in te delen:
- Aangepaste zandbak. Helemaal opnieuw gemaakt door een analist, speciaal voor hun behoeften.
- Een kant-en-klare oplossing. Een veelzijdige service met een reeks configuraties om aan uw eisen te voldoen.
Hoe bouw je je eigen malware-sandbox?
Hoe u uw eigen malware-sandbox kunt maken
Laten we alle stappen doorlopen die u nodig hebt om de eenvoudige omgeving voor malwareonderzoek in te stellen:
1 — Installeer een virtuele machine
Het uitvoeren van malware moet plaatsvinden in een goed geïsoleerde omgeving om infectie van een hostbesturingssysteem te voorkomen. Het is beter om een geïsoleerde computer te hebben, maar je kunt een virtuele machine opzetten of liever een paar ervan met verschillende versies van besturingssystemen. Er zijn een heleboel VM’s op de markt: VMWare, VirtualBox, KVM, Oracle VM VirtualBox, Microsoft Hyper-V, Parallels of Xen.
2 — Controleer artefacten
Moderne malware is slim: het begrijpt of het op de virtuele machine wordt uitgevoerd of niet. Daarom is het essentieel om artefacten te verwijderen. Controleer de code, verwijder detectie en meer.
3 — Gebruik een ander netwerk
Een andere voorzorgsmaatregel is om een ander netwerksysteem te gebruiken. Het is belangrijk om infectie van andere computers in uw netwerk te voorkomen. Neem een VPN-service en stel deze correct in. Je kunt het verkeerslek niet laten gebeuren vanaf een echt IP-adres.
4 — Wijs een realistische hoeveelheid middelen toe
Ons doel is om een systeem er zo authentiek mogelijk uit te laten zien om elk kwaadaardig programma te misleiden zodat het wordt uitgevoerd. Zorg ervoor dat je een realistische hoeveelheid resources toewijst: meer dan 4 Gb RAM, minimaal 4 cores en schijfruimte van 100 Gb en meer. Dat is een basisvereiste om te doen alsof het een legitiem systeem is. Houd er rekening mee dat malware de configuratie van apparatuur controleert. Als er ergens de naam van een virtuele machine is, identificeert een kwaadaardig object deze en stopt met werken.
5 — Installeer veelgebruikte software
Als u Windows installeert en het laat zoals het is, zal een kwaadaardig object krijgen dat het wordt geanalyseerd.
Installeer een paar toepassingen, zoals Word, browsers en andere programma’s die alle gebruikers gewoonlijk hebben.
6 — Meerdere bestanden openen
Hier moeten we laten zien dat het een echte computer is die van iemand is. Open een paar documenten om logs en een paar tijdelijke bestanden te verzamelen. Verschillende soorten virussen controleren dit. U kunt Regshot of Process monitor gebruiken om logboeken te maken van wijzigingen in het register en het bestandssysteem. Merk op dat deze programma’s kunnen worden gedetecteerd door malware wanneer deze actief is.
7 — Een netwerkverbinding imiteren
Sommige soorten malware controleren of het verbinding kan maken met websites zoals Google. Hoe kun je een kwaadaardig programma laten denken dat het online is? Hulpprogramma’s zoals INetSim en de FakeNet-tool imiteren een echte internetverbinding en stellen ons in staat de verzoeken van malware te onderscheppen. Probeer de netwerkprotocollen tussen een kwaadaardig object en zijn hostserver te controleren. Maar zoek van tevoren uit waar het geanalyseerde monster mee te maken heeft met WireShark. En het kost enige moeite om deze tool niet op te geven voor de malware, wees voorzichtig.
8 — Installeer analysetools
Bereid de tools voor die u voor analyse gaat gebruiken en zorg ervoor dat u weet hoe u ze moet gebruiken. U kunt met Flare VM-tools gaan of deze programma’s gebruiken:
- Debuggers: x64dbg onderzoekt kwaadaardige code door deze uit te voeren.
- Disassemblers: Ghidra maakt reverse engineering eenvoudiger, met toegang tot de uitvoer van de decompiler. Het kan ook als debugger worden gebruikt.
- Verkeersanalysatoren: Wireshark controleert netwerkcommunicatie die door malware wordt aangevraagd.
- Bestandsanalysatoren: Process Monitor, ProcDOT hebben tot doel te monitoren en te begrijpen hoe processen met bestanden omgaan.
- Procesmonitors: Process Explorer, Process Hacker helpen om malwaregedrag te bekijken.
9 — Werk uw systeem bij naar de nieuwste versie
Uw systeem moet up-to-date zijn, evenals alle software. Filter de reguliere Windows-wijzigingen uit die vrij vaak plaatsvinden. Uw experiment kan echter een andere versie vereisen, zoals hoe malware bepaalde OS-fouten uitbuit. Kies in dit scenario de benodigde versie en stel deze in.
10 — Schakel Windows Defender en Windows-firewall uit.
Schakel zaken als Windows Defender uit. Als u met malware werkt, kan deze de antivirus uitschakelen.
11 — Maak de bestanden klaar voor analyse
Maak een gedeelde map, selecteer een map die u nodig hebt.
Stel een momentopname in om in geval van een fout terug te gaan naar de latere status van de virtuele machine.
Als je al deze stappen hebt voltooid, kun je beginnen met de analyse.
Is er een efficiëntere optie om malware te analyseren?
Al deze stappen vergen veel tijd en voorbereiding. En toch is er een kans dat je sandbox niet veilig genoeg is, onzichtbaar voor malware en de nodige informatie levert. Dus, wat is een betere oplossing? Hier komt de tweede optie – gebruik een kant-en-klare oplossing. Laten we eens kijken naar ANY.RUN.
ELKE.RUN is een online malware-sandbox die u kunt gebruiken voor het detecteren, bewaken en analyseren van bedreigingen. Het beste deel ervan is tijd en gemak:
- Het duurt slechts een paar minuten om een analyse van een kwaadaardig monster te voltooien.
- De meeste tools staan voor je klaar, kies gewoon wat je nodig hebt en begin met de taak.
- Uw bestanden, systeem en netwerk zijn volkomen veilig.
- De interface is eenvoudig genoeg, zelfs voor junior analisten.
Het kan nog steeds worden aangepast – selecteer een besturingssysteem, softwareset, lokalisatie en andere details voor uw doeleinden. Maar het voordeel is dat u niets hoeft te installeren! Pak je computer en je bent helemaal klaar.
Twee minuten is meestal genoeg om zelfs geavanceerde malware te kraken, en de meeste moderne anti-ontduikingstrucs werken hier niet. ANY.RUN jaagt op ze allemaal.
Geniet van een snellere oplossing
De beste ervaring is die van jezelf, daarom bieden we je aan om de sandbox zelf uit te proberen en de functies van . te controleren ELKE.RUN. En hier is een speciale aanbieding voor onze lezers – u kunt de service gratis proberen:
Schrijf de “HACKERNEWS”-promotiecode in het onderwerp van de e-mail op support@any.run en ontvang 14 dagen gratis ANY.RUN premium-abonnement!
Het is natuurlijk aan jou hoe je malware-analyse uitvoert. U kunt wat tijd besteden aan het bouwen van uw eigen virtuele omgeving of het uitvoeren van analyses in enkele minuten met behulp van een handige sandbox zoals ANY.RUN. De keuze is aan jou. Het belangrijkste is wat je met deze diensten gaat doen en hoe je daar je doelen kunt bereiken. Maar dat is een ander verhaal. Succesvol jagen!
