Začátkem října proběhlo v rámci mezinárodního projektu „Cyber Security in Danube Region“ (Kybernetická bezpečnost v Podunají) školení bezpečnostních týmů fungujících v rámci tohoto regionu. Protože sdílení informací a poznatků je v oblasti bezpečnosti zcela klíčové, rozhodl jsem se sepsat příspěvek, kterým bych chtěl bezpečnostní komunitu v České republice upozornit na dva velice zajímavé, bezplatné nástroje.
V rámci školení na analýzu malware prezentoval kolega Christian Wojner z Rakouského bezpečnostního týmu CERT.at jeho vlastní nástroje ProcDOT a DensityScout. ProcDOT je nástroj, který je velmi užitečný při takzvané behaviorální analýze. Pravděpodobně každý, kdo někdy analyzoval nějaký malware pro operační systémy z dílny Microsoftu nebo pracoval jako správce těchto systémů, se již setkal s nástroji z rodiny Sysinternals. O operačních systémech Windows umí tyto nástroje prozradit spoustu věcí, od podrobností o běžících procesech, přes informace o síťové komunikaci či změnách v registru, až po informace o všech procesech automaticky spouštěných se startem systému. Právě výstup z jednoho z těchto nástrojů, konkrétně z programu Process Monitor, využívá nástroj ProcDOT. Dalším vstupem jsou pak PCAP soubory z programů jako jsou WinDump, či Wireshark.
Process Monitor umožňuje sledovat aktivitu týkající se registrů, souborového systému, procesů, knihoven a síťové aktivity. Wireshark a WinDump pak dokáží zachytávat kompletní síťový provoz. ProcDOT následně dokáže na základě souboru s informacemi zachycenými nástrojem Process Monitor a na základě PCAP souborů se síťovým provozem vykreslit velmi přehledný graf znázorňující chování a komunikaci určitého programu.
V praxi tak na počítači s připraveným Process Monitorem a WinDumpem spustíme podezřelý soubor. Po nějaké době v obou programech uložíme získané informace a soubory s těmito informacemi použijeme jako vstup pro nástroj ProcDOT. Pak zvolíme, který proces nás zajímá. Odměnou nám bude následující pohled.
Zdroj:http://www.procdot.com
ProcDOT nám zobrazí informace o souborech, ke kterým daný proces přistupoval, o klíčích registru Windows, o síťové komunikaci a dalších důležitých parametrech. Takto lze rychle získat komplexní přehled o chování malware a zároveň rozpoznat klíčové části průběhu infekce, například při napadení skrz neošetřenou chybu prohlížeče. Jednotlivé části je možné interaktivně procházet, stejně jako pustit mód animace, který nám pomůže pochopit průběh infekce v čase. To vše dělá z ProcDOTu velmi silný nástroj pro behaviorální analýzu malware.
Druhý z nástrojů, Density Scout, může být užitečným pomocníkem v případě, kdy před sebou máte počítač s podezřením na napadení malwarem, u kterého klasické metody detekce selhávají. Tento nástroj skenuje všechny soubory v nastaveném adresáři a počítá pro tyto soubory jejich entropii. Těží přitom z typického chování autorů malware, kteří své produkty různými způsoby maskují. Použití nástrojů pro obfuskaci kódu však zvyšuje entropii vzniklých souborů. Na druhou stranu, většina běžných spustitelných souborů pro Windows tyto metody nepoužívá. Proto bude potenciální malware vynikat svou entropií oproti běžným souborům. Není to stoprocentní metoda, ale v případě hledání možné infekce na počítači nám může pomoci vytipovat vhodné adepty pro další analýzu.
Doufám, že vám představené nástroje pomohou v běžné praxi. My je v našem týmu plánujeme využít při analýzách útoků identifikovaných v projektu PROKI (Predikce a Ochrana před Kybernetickými Incidenty) realizovaného v rámci bezpečnostního výzkumu v ČR. Ale o tom až někdy příště.