Как самостоятельно провести анализ вредоносного кода

На чтение 2 мин Просмотров 50 Опубликовано 17/03/2016

На Уральском форуме, в последний день я не только читал обзорную презентацию про «15 минут» и не только проводил «Свою ИБ-игру». Еще я проводил мастер-класс (если так можно выразиться) про самостоятельный анализ вредоносных или подозрительных файлов.

Надо сразу признаться, что я не практикующий аналитик и никогда не планировал им стать. Да и за час (а на Уральском форуме и того меньше — я провел эту демонстрацию за 30 минут) сложно научиться проводить такой анализ. Моя задача состояла в другом. Во-первых, показать, что не всегда стоит надеяться только на антивирусные компании, которым можно отправить подозрительный файл. Иногда можно провести анализ самостоятельно. Хотя бы первичный. Это как с первой помощью — ее можно провести и самому (при наличии определенной квалификации и пройденных тренингов). А уж медицинскую помощь должны оказывать специалисты. Тут схожая ситуация — снять хэш с файла для создания индикатора компрометации, сделать копию диска, снять «слепок» с оперативной памяти, записать сетевой трафик и т.п. Это все можно сделать и своими руками. А вот что делать дальше — вопрос открытый. Можно создать свою службу расследования, а можно уже общаться со специализированными компаниями.

Второй целью демонстрации было показать, что есть задачи, которые можно проводить своими силами и без привлечения дорогостоящих инструментов. Первых 8 демонстраций базируются на бесплатных или open source решениях, свободно скачиваемых из Интернет или являющихся частью операционных систем (тот же REMnux, Onion и т.п.). Но у бесплатных решений есть и минус — они требуют ресурсов — временных и людских, а также серьезной квалификации. С платным инструментарием по анализу вредоносной активности ситуация проще — им надо просто заслать файл для анализа и обратно получить вердикт. Просто и банально. Но за деньги. Выбирать вам. Вот собственно этому выбору и посвящена данная презентация с 9-ью демонстрациями.

В конце презентации приведена картинка, которая может быть не очень хорошо видна. Она содержит майнд-карту с перечнем инструментов, которыми должен владеть аналитик вредоносных файлов и вредоносной активности. Я ее тоже прикладываю — она полезна для расширения списка инструментов, которыми надо оснащать собственную службу расследования и анализа.

ЗЫ. И обратите внимание на DISCLAIMER в начале презентации 🙂

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

r1j1k 17/03/2016 в 06:45

Большое спасибо за шикарный mindmap!
А есть в большем разрешении, чем 710х672?
Не сочтите за попрошайничество)

Ответить
Алексей Лукацкий 17/03/2016 в 06:58

Нету. В Интернете наткнулся в прошлом году. Где, не помню

Ответить
Unknown 17/03/2016 в 11:08

Картинка в большем разрешении есть здесь — http://damilarefagbemi.com/wp-content/uploads/2016/01/malware-analysis-skills.png

Ответить
r1j1k 17/03/2016 в 12:26

Евгений, благодарю!
А то поиск картинок Яндекса подвёл)

Ответить
Алексей Лукацкий 20/03/2016 в 07:48

Иностранные картинки лучше через Гугл искать

Ответить
ser-storchak 20/03/2016 в 19:31

Всем также рекомендую пройти бесплатный курс по эффективному лечению ОС Windows от вредоносных программ http://virusinfo.info/content.php?r=124-page-learning

Ответить