Malware

Linux Malware-analyse

Linux Malware-analyse
Malware is een kwaadaardig stukje code dat wordt verzonden met de bedoeling schade toe te brengen aan iemands computersysteem. Malware kan van elk type zijn, zoals rootkits, spyware, adware, virussen, wormen, enz., die zichzelf verbergt en op de achtergrond draait terwijl hij communiceert met zijn commando- en controlesysteem op het externe netwerk. Tegenwoordig zijn de meeste malwares doelspecifiek en speciaal geprogrammeerd om de beveiligingsmaatregelen van het doelsysteem te omzeilen. Daarom kan geavanceerde malware erg moeilijk te detecteren zijn met normale beveiligingsoplossingen. Malware is meestal doelspecifiek en een belangrijke stap bij het activeren van malware is de infectievector ervan, i.e., hoe de malware het oppervlak van het doelwit bereikt. Er kan bijvoorbeeld een onopvallende USB-stick of kwaadaardige downloadbare links (via social engineering/phishing) worden gebruiktishing. Malware moet een kwetsbaarheid kunnen misbruiken om het doelsysteem te infecteren. In de meeste gevallen is malware uitgerust met de mogelijkheid om meer dan één functie uit te voeren; de malware kan bijvoorbeeld een code bevatten om een ​​bepaalde kwetsbaarheid te misbruiken en kan ook een payload of programma bevatten om met de aanvallende machine te communiceren.

REMnux

Het demonteren van computermalware om het gedrag ervan te bestuderen en te begrijpen wat het daadwerkelijk doet, wordt genoemd Malware reverse-engineering. Om te bepalen of een uitvoerbaar bestand malware bevat of dat het gewoon een gewoon uitvoerbaar bestand is, of om te weten wat een uitvoerbaar bestand werkelijk doet en de impact die het heeft op het systeem, is er een speciale Linux-distributie genaamd REMnux. REMnux is een lichtgewicht, op Ubuntu gebaseerde distro die is uitgerust met alle tools en scripts die nodig zijn om een ​​gedetailleerde malware-analyse uit te voeren op een bepaald bestand of uitvoerbare software. REMnux is uitgerust met gratis en open-source tools die kunnen worden gebruikt om alle soorten bestanden te onderzoeken, inclusief uitvoerbare bestanden. Sommige tools in REMnux kan zelfs worden gebruikt om onduidelijke of versluierde JavaScript-code en Flash-programma's te onderzoeken.

Installatie

REMnux kan worden uitgevoerd op elke op Linux gebaseerde distributie, of in een virtuele doos met Linux als het hostbesturingssysteem. De eerste stap is het downloaden van de REMnux distributie vanaf de officiële website, wat kan worden gedaan door de volgende opdracht in te voeren:

[e-mail beveiligd]:~$ wget https://REMnux.org/remnux-cli

Zorg ervoor dat u controleert of het hetzelfde bestand is dat u wilde door de SHA1-handtekening te vergelijken. De SHA1-handtekening kan worden geproduceerd met de volgende opdracht:

[e-mail beveiligd]:~$ sha256sum remnux-cli

Verplaats het dan naar een andere map met de naam "remnux" en geef het uitvoerbare machtigingen met behulp van “chmod +x.” Voer nu de volgende opdracht uit om het installatieproces te starten:

[e-mail beveiligd]:~$ mkdir remnux
[e-mail beveiligd]:~$ cd remnux
[e-mail beveiligd]:~$ mv… /remux-cli ./
[e-mail beveiligd]:~$ chmod +x remnux-cli
//Installeer Remnux
[e-mail beveiligd]:~$ sudo install remnux

Start uw systeem opnieuw op en u kunt de nieuw geïnstalleerde REMnux distro met alle tools die beschikbaar zijn voor de reverse engineering-procedure.

Nog iets nuttigs over REMnux is dat u docker-afbeeldingen van populaire REMnux tools om een ​​specifieke taak uit te voeren in plaats van de hele distributie te installeren. Bijvoorbeeld de RetDec tool wordt gebruikt om de machinecode te demonteren en vereist invoer in verschillende bestandsindelingen, zoals 32-bits/62-bits exe-bestanden, elf-bestanden, enz. herinneren is een ander geweldig hulpmiddel met een docker-afbeelding die kan worden gebruikt om een ​​aantal nuttige taken uit te voeren, zoals het extraheren van geheugengegevens en het ophalen van belangrijke gegevens. Om een ​​onduidelijk JavaScript te onderzoeken, een tool genaamd JSdetox kan ook worden gebruikt. Docker-afbeeldingen van deze tools zijn aanwezig in de REMnux opslagplaats in de Docker-hub.

Malware-analyse

Het controleren van de onvoorspelbaarheid van een datastroom heet Entropie. Een consistente stroom gegevensbytes, bijvoorbeeld allemaal nullen of allemaal enen, heeft 0 entropie. Aan de andere kant, als de gegevens versleuteld zijn of uit alternatieve bits bestaan, zal deze een hogere entropiewaarde hebben. Een goed versleuteld datapakket heeft een hogere entropiewaarde dan een normaal gegevenspakket omdat bitwaarden in versleutelde pakketten onvoorspelbaar zijn en sneller veranderen. Entropie heeft een minimumwaarde van 0 en een maximumwaarde van 8. Het primaire gebruik van Entropy in Malware-analyse is het vinden van malware in uitvoerbare bestanden. Als een uitvoerbaar bestand schadelijke malware bevat, wordt het meestal volledig versleuteld, zodat AntiVirus de inhoud ervan niet kan onderzoeken. Het entropieniveau van dat soort bestand is erg hoog in vergelijking met een normaal bestand, dat een signaal naar de onderzoeker stuurt over iets verdachts in de inhoud van een bestand. Een hoge entropiewaarde betekent veel versleuteling van de gegevensstroom, wat een duidelijke indicatie is van iets vreemds.

Deze handige tool is gemaakt voor één doel: malware in een systeem vinden. Wat de aanvallers meestal doen, is de malware in versleutelde gegevens inpakken (of coderen/versleutelen) zodat deze niet kan worden gedetecteerd door antivirussoftware. Density Scout scant het opgegeven bestandssysteempad en drukt de entropiewaarden van elk bestand in elk pad af (van hoog naar laag). Een hoge waarde maakt de onderzoeker achterdochtig en hij of zij zal het dossier verder onderzoeken. Deze tool is beschikbaar voor Linux-, Windows- en Mac-besturingssystemen. Density Scout heeft ook een helpmenu met een verscheidenheid aan opties die het biedt, met de volgende syntaxis:

ubuntu@ubuntu:~ densityscout --h

ByteHist is een zeer handig hulpmiddel voor het genereren van een grafiek of histogram volgens het gegevensversleuteling (entropie) niveau van verschillende bestanden. Het maakt het werk van een onderzoeker nog eenvoudiger, omdat deze tool zelfs histogrammen maakt van de subsecties van een uitvoerbaar bestand. Dit betekent dat de onderzoeker zich nu gemakkelijk kan concentreren op het deel waar de verdenking optreedt door alleen maar naar het histogram te kijken. Het histogram van een normaal uitziend bestand zou totaal anders zijn dan een kwaadaardig histogram.

Onregelmatigheidsdetectie

Malware kan normaal worden ingepakt met behulp van verschillende hulpprogramma's, zoals: UPX. Deze hulpprogramma's wijzigen de headers van uitvoerbare bestanden. Wanneer iemand deze bestanden probeert te openen met behulp van een debugger, crashen de gewijzigde headers de debugger zodat onderzoekers er niet naar kunnen kijken. Voor deze gevallen:, Detectie van afwijkingen gereedschap wordt gebruikt.

PE Scanner is een handig script geschreven in Python dat wordt gebruikt voor het detecteren van verdachte TLS-vermeldingen, ongeldige tijdstempels, secties met verdachte entropieniveaus, secties met onbewerkte groottes van nul lengte en de malware verpakt in exe-bestanden, naast andere functies.

Een ander geweldig hulpmiddel voor het scannen van exe- of dll-bestanden op vreemd gedrag is EXE-scan. Dit hulpprogramma controleert het kopveld van uitvoerbare bestanden op verdachte entropieniveaus, secties met onbewerkte grootten van nul lengte, checksum-verschillen en alle andere soorten niet-regulier gedrag van bestanden. EXE Scan heeft geweldige functies, het genereren van een gedetailleerd rapport en het automatiseren van de taken, wat veel tijd bespaart.

Verduisterde snaren

Aanvallers kunnen een verschuiven methode om de strings in kwaadaardige uitvoerbare bestanden te verdoezelen. Er zijn bepaalde soorten codering die kunnen worden gebruikt voor verduistering. Bijvoorbeeld, ROT codering wordt gebruikt om alle tekens (kleinere en hoofdletters) met een bepaald aantal posities te roteren. XOR codering gebruikt een geheime sleutel of wachtwoordzin (constant) om een ​​bestand te coderen of te XOR. ROL codeert de bytes van een bestand door ze na een bepaald aantal bits te roteren. Er zijn verschillende hulpmiddelen om deze verwarde reeksen uit een bepaald bestand te extraheren.

XORsearch wordt gebruikt om te zoeken naar inhoud in een bestand dat is gecodeerd met ROT-, XOR- en ROL-algoritmen. Het zal alle sleutelwaarden van één byte bruut forceren. Voor langere waarden zal dit hulpprogramma veel tijd in beslag nemen, daarom moet u de tekenreeks opgeven waarnaar u op zoek bent. Enkele nuttige tekenreeksen die meestal in malware worden aangetroffen, zijn "http” (meestal zijn URL's verborgen in malwarecode), "Dit programma" (header van bestand wordt gewijzigd door in veel gevallen "Dit programma kan niet in DOS worden uitgevoerd" te schrijven). Nadat je een sleutel hebt gevonden, kunnen alle bytes ermee worden gedecodeerd. De XORsearch-syntaxis is als volgt:

ubuntu@ubuntu:~ xorsearch -s

  • brutexor

Na het vinden van sleutels met behulp van programma's zoals xor search, xor strings, etc., men kan een geweldige tool gebruiken genaamd brutexor elk bestand bruteforceren voor strings zonder een bepaalde string op te geven. Bij gebruik van de -f optie, het hele bestand kan worden geselecteerd. Een bestand kan eerst brute-forced worden uitgevoerd en de uitgepakte strings worden gekopieerd naar een ander bestand. Dan, na te hebben gekeken naar de geëxtraheerde strings, kan men de sleutel vinden, en nu, met behulp van deze sleutel, kunnen alle strings die zijn gecodeerd met die specifieke sleutel worden geëxtraheerd.

ubuntu@ubuntu:~ brutexor.py >> wil de uitgepakte strings kopiëren>
ubuntu@ubuntu:~ brutexor.py -f -k

Extractie van artefacten en waardevolle gegevens (verwijderd)

Om schijfimages en harde schijven te analyseren en er artefacten en waardevolle gegevens uit te extraheren met behulp van verschillende tools zoals: Scalpel, in de eerste plaats, enz., men moet er eerst een bit-voor-bit afbeelding van maken, zodat er geen gegevens verloren gaan. Om deze afbeeldingskopieën te maken, zijn er verschillende tools beschikbaar.

  • dd

dd wordt gebruikt om een ​​forensisch verantwoord beeld van een schijf te maken. Deze tool biedt ook een integriteitscontrole door vergelijking van de hashes van een afbeelding met de originele schijf mogelijk te maken. De dd-tool kan als volgt worden gebruikt:

ubuntu@ubuntu:~ dd if= van = bs=512
if=Bronstation (bijvoorbeeld /dev/sda)
van=Bestemmingslocatie
bs=Blokgrootte (het aantal bytes dat tegelijk moet worden gekopieerd)

  • dcfldd

dcfldd is een ander hulpmiddel dat wordt gebruikt voor schijfafbeeldingen. Deze tool is als een geüpgradede versie van het hulpprogramma dd. Het biedt meer opties dan dd, zoals hashen op het moment van beeldvorming. U kunt de opties van dcfldd verkennen met de volgende opdracht:

ubuntu@ubuntu:~ dcfldd -h
Gebruik: dcfldd [OPTIE]…
bs=BYTES forceren ibs=BYTES en obs=BYTES
conv=KEYWORDS converteer het bestand volgens de door komma's gescheiden trefwoordenlijst
count=BLOKKEN kopieer alleen BLOKKEN invoerblokken
ibs=BYTES lees BYTES bytes tegelijk
if=FILE gelezen uit FILE in plaats van stdin
obs=BYTES schrijf BYTES bytes tegelijk
of=FILE schrijf naar FILE in plaats van stdout
OPMERKING: of=FILE kan meerdere keren worden gebruikt om te schrijven
uitvoer naar meerdere bestanden tegelijk
of:=COMMAND exec en schrijf uitvoer om COMMAND te verwerken
skip=BLOKKEN overslaan BLOCKS ibs-sized blokken aan het begin van invoer
patroon=HEX gebruik het opgegeven binaire patroon als invoer
textpattern=TEXT gebruik herhalende TEXT als invoer
errlog=FILE stuur foutmeldingen naar zowel FILE als stderr
hash=NAME ofwel md5, sha1, sha256, sha384 of sha512
standaardalgoritme is md5. Meerdere selecteren:
algoritmen om gelijktijdig te draaien voer de namen in
in een door komma's gescheiden lijst
hashlog=FILE stuur MD5 hash-uitvoer naar FILE in plaats van stderr
als u meerdere hash-algoritmen gebruikt,
kan elk naar een apart bestand sturen met de
conventie ALGORITHMlog=FILE, bijvoorbeeld
md5log=BESTAND1, sha1log=BESTAND2, enz.
hashlog:=COMMAND exec en schrijf hashlog om COMMAND te verwerken
ALGORITHMlog:=COMMAND werkt ook op dezelfde manier
hashconv=[before|after] voer de hashing uit voor of na de conversies
hash format=FORMAT geeft elk hashvenster weer volgens FORMAT
het hash-formaat mini-taal wordt hieronder beschreven:
totalhash format=FORMAT geeft de totale hash-waarde weer volgens FORMAT
status=[on|off] geef een continu statusbericht weer op stderr
standaardstatus is "aan"
statusinterval=N update het statusbericht elke N blokken
standaardwaarde is 256
vf=FILE controleer of FILE overeenkomt met de opgegeven invoer
confirmlog=FILE stuur verificatieresultaten naar FILE in plaats van stderr
confirmlog:=COMMAND exec en schrijf verificatieresultaten om COMMAND te verwerken
--help deze help weergeven en afsluiten
--versie-uitvoer versie-informatie en afsluiten

  • in de eerste plaats

Foremost wordt gebruikt om gegevens uit een afbeeldingsbestand te snijden met behulp van een techniek die bekend staat als file carving. De belangrijkste focus van het snijden van bestanden is het snijden van gegevens met behulp van kop- en voetteksten. Het configuratiebestand bevat verschillende headers, die door de gebruiker kunnen worden bewerkt. Foremost haalt de headers uit en vergelijkt ze met die in het configuratiebestand. Als het overeenkomt, wordt het weergegeven.

  • Scalpel

Scalpel is een ander hulpmiddel dat wordt gebruikt voor het ophalen en extraheren van gegevens en is relatief sneller dan Foremost. Scalpel kijkt naar het geblokkeerde gegevensopslaggebied en begint de verwijderde bestanden te herstellen. Voordat u deze tool gebruikt, moet de regel met bestandstypen worden verwijderd door te verwijderen # van de gewenste regel. Scalpel is beschikbaar voor zowel Windows- als Linux-besturingssystemen en wordt als zeer nuttig beschouwd bij forensisch onderzoek.

  • Bulkextractor

Bulk Extractor wordt gebruikt om functies te extraheren, zoals e-mailadressen, creditcardnummers, URL's, enz. Deze tool bevat veel functies die enorme snelheid geven aan de taken. Voor het decomprimeren van gedeeltelijk beschadigde bestanden wordt Bulk Extractor gebruikt. Het kan bestanden ophalen zoals jpg's, pdf's, word-documenten, enz. Een ander kenmerk van deze tool is dat het histogrammen en grafieken van herstelde bestandstypen maakt, waardoor het voor onderzoekers een stuk eenvoudiger wordt om naar gewenste plaatsen of documenten te kijken.

PDF's analyseren

Het hebben van een volledig gepatcht computersysteem en de nieuwste antivirus betekent niet noodzakelijk dat het systeem veilig is. Schadelijke code kan overal in het systeem komen, inclusief pdf's, kwaadaardige documenten, enz. Een pdf-bestand bestaat meestal uit een koptekst, objecten, een kruisverwijzingstabel (om artikelen te zoeken) en een trailer. "/OpenActie" en "/AA" (aanvullende actie) zorgt ervoor dat de inhoud of activiteit natuurlijk verloopt. "/Namen", "/AcroForm," en "/Actie" kan eveneens inhoud of activiteiten aangeven en verzenden. "/JavaScript" geeft aan dat JavaScript moet worden uitgevoerd. "/Ga naar*" verandert de weergave in een vooraf gedefinieerd doel in de PDF of in een ander PDF-record. "/Lancering" verzendt een programma of opent een archief. "/URI" verkrijgt een asset via zijn URL. "/Formulier indienen" en "/GoToR" kan informatie naar de URL sturen. "/Rijke media" kan worden gebruikt om Flash in PDF te installeren. “/ObjStm” kan objecten in een objectstroom verbergen. Let op voor verwarring met bijvoorbeeld hexadecimale codes, "/JavaScript" versus “/J#61vaScript.” Pdf-bestanden kunnen worden onderzocht met behulp van verschillende tools om te bepalen of ze kwaadaardige JavaScript of shellcode bevatten.

  • pdfid.py

pdfid.py is een Python-script dat wordt gebruikt om informatie te verkrijgen over een PDF en zijn headers. Laten we eens kijken naar het terloops analyseren van een PDF met behulp van pdfid:

ubuntu@ubuntu:~ python pdfid.py kwaadaardig.pdf
PDFiD 0.2.1 /home/ubuntu/Desktop/kwaadaardig.pdf
PDF-kop: %PDF-1.7
obj 215
endobj 215
stream 12
eindstroom 12
xref 2
aanhangwagen 2
startxref 2
/Pagina 1
/codeer 0
/ObjStm 2
/JS 0
/JavaScript 2
/AA 0
/OpenActie 0
/AcroForm 0
/JBIG2Decodeer 0
/RichMedia 0
/Start 0
/EmbeddedFile 0
/XFA 0
/Kleuren > 2^24 0

Hier kunt u zien dat er een JavaScript-code aanwezig is in het PDF-bestand, dat meestal wordt gebruikt om Adobe Reader te misbruiken.

  • peepdf

peepdf bevat alles wat nodig is voor de analyse van PDF-bestanden. Deze tool geeft de onderzoeker inzicht in het coderen en decoderen van streams, het bewerken van metadata, shellcode, het uitvoeren van shellcodes en kwaadaardig JavaScript. Peepdf heeft handtekeningen voor veel kwetsbaarheden. Bij het uitvoeren van het met een kwaadaardig pdf-bestand, zal peepdf elke bekende kwetsbaarheid blootleggen. Peepdf is een Python-script en biedt een verscheidenheid aan opties voor het analyseren van een PDF. Peepdf wordt ook gebruikt door kwaadwillende codeerders om een ​​PDF te verpakken met kwaadaardig JavaScript, uitgevoerd bij het openen van het PDF-bestand. Shellcode-analyse, extractie van kwaadaardige inhoud, extractie van oude documentversies, objectmodificatie en filtermodificatie zijn slechts enkele van de uitgebreide mogelijkheden van deze tool.

ubuntu@ubuntu:~ python peepdf.py kwaadaardig.pdf
Bestand: kwaadaardig.pdf
MD5: 5b92c62181d238f4e94d98bd9cf0da8d
SHA1: 3c81d17f8c6fc0d5d18a3a1c110700a9c8076e90
SHA256: 2f2f159d1dc119dcf548a4cb94160f8c51372a9385ee60dc29e77ac9b5f34059
Grootte: 263069 bytes
Versie 1.7
Binair: Waar
Gelineariseerd: False
Versleuteld: False
Updates: 1
Objecten: 1038
Stroom: 12
URI's: 156
Opmerkingen: 0
fouten: 2
Stromen (12): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1036, 1038]
Xref-streams (1): [1038]
Objectstromen (2): [204, 705]
Gecodeerd (11): [4, 204, 705, 1022, 1023, 1027, 1029, 1031, 1032, 1033, 1038]
Objecten met URI's (156): [11, 12, 13, 14, 15, 16, 24, 27, 28, 29, 30, 31, 32, 33,
34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93,
94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110,
111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126,
127, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142,
143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158,
159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175]
 
Verdachte elementen:/Namen (1): [200]

Koekoek Zandbak

Sandboxing wordt gebruikt om het gedrag van niet-geteste of niet-vertrouwde programma's te controleren in een veilige, realistische omgeving. Na het plaatsen van een bestand in Koekoek Zandbak, in een paar minuten onthult deze tool alle relevante informatie en gedrag. Malware is het belangrijkste wapen van aanvallers en Koekoek is de beste verdediging die men kan hebben. Tegenwoordig is het niet voldoende om te weten dat malware een systeem binnendringt en te verwijderen, en een goede beveiligingsanalist moet het gedrag van het programma analyseren en bekijken om het effect op het besturingssysteem, de hele context en de belangrijkste doelen te bepalen.

Installatie

Cuckoo kan worden geïnstalleerd op Windows-, Mac- of Linux-besturingssystemen door deze tool te downloaden via de officiële website: https://cuckoosandbox.org/

Om Cuckoo soepel te laten werken, moet men een paar Python-modules en -bibliotheken installeren. Dit kan met de volgende commando's:

ubuntu@ubuntu:~ sudo apt-get install python python-pip
python-dev mongodb postgresql libpq-dev

Om Cuckoo de uitvoer te laten zien die het gedrag van het programma op het netwerk onthult, is een pakketsniffer zoals tcpdump nodig, die kan worden geïnstalleerd met behulp van de volgende opdracht:

ubuntu@ubuntu:~ sudo apt-get install tcpdump

Om de Python-programmeur SSL-functionaliteit te geven om clients en servers te implementeren, kan m2crypto worden gebruikt:

ubuntu@ubuntu:~ sudo apt-get install m2crypto

Gebruik

Cuckoo analyseert verschillende bestandstypen, waaronder PDF's, Word-documenten, uitvoerbare bestanden, enz. Met de nieuwste versie kunnen zelfs websites worden geanalyseerd met deze tool. Cuckoo kan ook netwerkverkeer laten vallen of via een VPN routeren. Deze tool dumpt zelfs netwerkverkeer of SSL-enabled netwerkverkeer, en dat kan opnieuw worden geanalyseerd. PHP-scripts, URL's, html-bestanden, visuele basisscripts, zip-, dll-bestanden en bijna elk ander type bestand kunnen worden geanalyseerd met behulp van Cuckoo Sandbox.

Om Cuckoo te gebruiken, moet u een monster indienen en vervolgens het effect en gedrag analyseren.

Gebruik de volgende opdracht om binaire bestanden in te dienen:

# koekoek inleveren

Gebruik de volgende opdracht om een ​​URL in te dienen:

# koekoek inleveren

Gebruik de volgende opdracht om een ​​time-out voor analyse in te stellen:

# koekoek indien time-out=60s

Gebruik de volgende opdracht om een ​​hogere eigenschap voor een bepaald binair bestand in te stellen:

# koekoek indienen --prioriteit 5

De basissyntaxis van Cuckoo is als volgt:

# koekoek indien --package exe --options argumenten=dosometask

Zodra de analyse is voltooid, kunnen een aantal bestanden in de map worden bekeken "CWD/opslag/analyse," met de resultaten van de analyse op de verstrekte monsters. De bestanden in deze map bevatten het volgende:

  • Analyse.log: Bevat de procesresultaten tijdens de analyse, zoals runtime-fouten, het maken van bestanden, enz.
  • Geheugen.dumpen: Bevat de volledige geheugendumpanalyse.
  • dumpen.pcap: Bevat de netwerkdump gemaakt door tcpdump.
  • bestanden: Bevat elk bestand waaraan de malware heeft gewerkt of is aangetast.
  • Dump_gesorteerd.pcap: Bevat een gemakkelijk te begrijpen vorm van dump.pcap-bestand om de TCP-stream op te zoeken.
  • Logboeken: Bevat alle gemaakte logs.
  • schoten: Bevat snapshots van de desktop tijdens het verwerken van malware of gedurende de tijd dat de malware op het Cuckoo-systeem draaide.
  • Tlsmaster.tekst: Bevat TLS-hoofdgeheimen die zijn ontdekt tijdens de uitvoering van de malware.

Conclusie

Er is een algemene perceptie dat Linux virusvrij is, of dat de kans op malware op dit besturingssysteem zeer zeldzaam is. Meer dan de helft van de webservers is gebaseerd op Linux of Unix. Met zoveel Linux-systemen die websites en ander internetverkeer bedienen, zien aanvallers een grote aanvalsvector in malware voor Linux-systemen. Dus zelfs dagelijks gebruik van antivirusprogramma's zou niet genoeg zijn. Ter bescherming tegen malwarebedreigingen zijn er veel antivirus- en eindpuntbeveiligingsoplossingen beschikbaar. Maar om malware handmatig te analyseren, REMnux en Cuckoo Sandbox zijn de best beschikbare opties. REMnux biedt een breed scala aan tools in een lichtgewicht, eenvoudig te installeren distributiesysteem dat geweldig zou zijn voor elke forensisch onderzoeker bij het analyseren van alle soorten kwaadaardige bestanden op malware. Sommige zeer nuttige tools zijn al in detail beschreven, maar dat is niet alles wat REMnux heeft, het is slechts het topje van de ijsberg. Enkele van de handigste tools in het REMnux-distributiesysteem zijn de volgende:

Om het gedrag van een verdacht, niet-vertrouwd programma of programma van derden te begrijpen, moet deze tool worden uitgevoerd in een veilige, realistische omgeving, zoals Koekoek Zandbak, zodat er geen schade kan worden toegebracht aan het hostbesturingssysteem.

Het gebruik van netwerkcontroles en systeemverhardingstechnieken biedt een extra beveiligingslaag voor het systeem. De technieken voor incidentrespons of digitaal forensisch onderzoek moeten ook regelmatig worden geüpgraded om malwarebedreigingen voor uw systeem te overwinnen.

Spellen Beste Linux-distributies voor gaming in 2021
Beste Linux-distributies voor gaming in 2021
Het Linux-besturingssysteem heeft een lange weg afgelegd van zijn oorspronkelijke, eenvoudige, servergebaseerde uiterlijk. Dit besturingssysteem is de...
Spellen Hoe u uw gamesessie op Linux kunt vastleggen en streamen
Hoe u uw gamesessie op Linux kunt vastleggen en streamen
In het verleden werd het spelen van games alleen als een hobby beschouwd, maar met de tijd zag de game-industrie een enorme groei in termen van techno...
Spellen Beste spellen om te spelen met handtracking
Beste spellen om te spelen met handtracking
Oculus Quest introduceerde onlangs het geweldige idee van handtracking zonder controllers. Met een steeds toenemend aantal games en activiteiten die f...