تیم آبی

برگه رمز هایی برای شکاران تهدید

سرآغاز آماده سازی شناسایی دامنه محافظت در دفاع قابلیت مشاهده تحلیل پاسخ ها پس از حمله روش ها نکته ها لیست کنترل مدیریت حادثه شناسایی حادثه

تحلیل پاسخ ها

LIVE TRIAGE - ویندوز

اطلاعات سیستم

C:\> echo %DATE% %TIME%
C:\> hostname
C:\> systeminfo
C:\> systeminfo I findstr /B /C:"OS Name" /C:"OS
Version"
C:\> wmic csproduct get name
C:\> wmic bios get serialnumber
C:\> wmic computersystem list brief

منبع. https://technet.microsoft.com/en­ us/sysinternals/psinfo.aspx

C:\> psinfo -accepteula -s -h -d

اطلاعات کاربر

C:\> whoami
C:\> net users
C:\> net localgroup administrators
C:\> net group administrators
C:\> wmic rdtoggle list
C:\> wmic useraccount list
C:\> wmic group list
C:\> wmic netlogin get
name, lastlogon,badpasswordcount
C:\> wmic netclient list brief
C:\> doskey /history> history.txt

اطلاعات شبکه

C:\> netstat -e
C:\> netstat -naob
C:\> netstat -nr
C:\> netstat -vb
C:\> nbtstat -s
C:\> route print
C:\> arp -a
C:\> ipconfig /displaydns
C:\> netsh winhttp show proxy
C:\> ipconfig /allcompartments /all
C:\> netsh wlan show interfaces
C:\> netsh wlan show all
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Inte
rnet Settings\Connections\WinHttpSettings"
C:\> type %SYSTEMROOT%\system32\drivers\etc\hosts
C:\> wmic nicconfig get
descriptions,IPaddress,MACaddress
C:\> wmic netuse get
name,username,connectiontype, localname

اطلاعات سرویس ها

C:\> at
C:\> tasklist
C:\> task list /SVC
C:\> tasklist /SVC /fi "imagename eq svchost.exe"
C:\> schtasks
C:\> net start
C:\> sc query
C:\> wmic service list brief I findstr "Running"
C:\> wmic service list conf ig
C:\> wmic process list brief
C:\> wmic process list status
C:\> wmic process list memory
C:\> wmic job list brief
PS C:\> Get-Service I Where-Object { $_.Status -eq
"running" }

لیست تمام سرویس و ماژول ها:

PS C:\> Get-Process !select modules!Foreach­
Object{$_.modules}

اطلاعات POLICY, PATCH و تنظیمات

C:\> set
C:\> gpresult /r
C:\> gpresult /z > <OUTPUT FILE NAME>.txt
C:\> gpresult /H report.html /F
C:\> wmic qfe

لیست نرم افزار های GPO نصب شده:

C:\> reg query
uHKLM\Software\Microsoft\Windows\Current
Version\Group Policy\AppMgmt"

اطلاعات AUTORUN و AUTOLOAD

Startup information:
C:\> wmic startup list full
C:\> wmic ntdomain list brief

نمایش محتوای مسیر سرویس های راه انداز:

C:\> dir
"%SystemDrive%\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Sta rtup"
C:\> dir "%SystemDrive%\Documents and Settings\All
Use rs\Sta rt Menu\Prog rams\Sta rtup"
C:\> dir %userprofile%\Start Menu\Programs\Startup
C:\> %ProgramFiles%\Startup\
C:\> dir C:\Windows\Start Menu\Programs\startup
C:\> dir
"C:\Users\%username%\AppData\Roaming\Microsoft\Windo
ws\Start Menu\Programs\Startup"
C:\> dir "C:\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Sta rtup"
C:\> dir "%APPDATA%\Microsoft\Windows\Start
Menu\Prog rams\Sta rtup"
C:\> dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start
Menu\Prog rams\Sta rtup"
C:\> dir "%ALLUSERSPROFILE%\Start
Menu\P rog rams\Sta rtup"
C:\> type C:\Windows\winstart.bat
C:\> type %windir%\wininit.ini
C:\> type %windir%\win.ini

نمایش autorun ها و فایل های مخفی ماکروسافت:

منبع. https://technet.microsoft.com/en­ us/sysinternals/bb963902.aspx

C:\> autorunsc -accepteula -m
C:\> type C:\Autoexec.bat"

نمایش تمامی فایل های autorun و ذخیره سازی آن ها در csv و بررسی آن توسط virustotal:

C:\> autorunsc.exe -accepteula -a -c -i -e -f -l -m
-v

HKEY_CLASSES_ROOT:

C:\> reg query HKCR\Comfile\Shell\Open\Command
C:\> reg query HKCR\Batfile\Shell\Open\Command
C:\> reg query HKCR\htafile\Shell\Open\Command
C:\> reg query HKCR\Exefile\Shell\Open\Command
C:\> reg query HKCR\Exefiles\Shell\Open\Command
C:\> reg query HKCR\piffile\shell\open\command

HKEY_CURRENT_USERS:

C:\> reg query uHKCU\Control Panel\Desktop"
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Runon
ce
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOn
ceEx
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe
rvices
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe
rv ices Once
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Load
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Scripts
C:\> reg query «HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows « /f run
C:\> reg query «HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows « /f load
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\RecentDocs
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComDlg32\LastVisitedMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComD1g32\0pen5aveMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComDlg32\LastVisitedPidlMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComD1g32\0pen5avePidlMRU /s
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\RunMRU
C:\> reg query
«HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Shell Folders"
C:\> reg query
uHKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\User Shell Folders"
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Apple
ts\RegEdit /v LastKey
C:\> reg query "HKCU\Software\Microsoft\Internet
Exp lo re r\ TypedURLs"
C:\> reg query
uHKCU\Software\Policies\Microsoft\Windows\Control
Panel \Desktop"

HKEY_LOCAL_MACHINE:

C: \> reg query uHKLM\SOFTWARE\Mic rosoft\Act ive
Setup\Installed Components" /s
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\expl
orer\User Shell Folders"
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\expl
orer\Shell Folders"
C:\> reg query
HKLM\Software\Microsoft\Windows\CurrentVersion\explo
rer\ShellExecuteHooks
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl
orer\Browser Helper Objects" /s
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
ce
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOn
ceEx
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe
rvices
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe
rvicesOnce
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlo
gon\Userinit
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\shell
ServiceObjectDelayLoad
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Schedule\TaskCache\Tasks" /s
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows"
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows" /f Appinit_DLLs
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon" /f Shell
C: \> reg query "HKLM\SOFTWARE\Mic rosoft\Windows
NT\CurrentVersion\Winlogon" /f Userinit
C:\> reg query
HKLM\SOFTWARE\Policies\Microsoft\Windows\Systern\Scri
pts
C:\> reg query
HKLM\SOFTWARE\Classes\batfile\shell\open\cornrnand
C:\> reg query
HKLM\SOFTWARE\Classes\cornfile\shell\open\cornrnand
C:\> reg query
HKLM\SOFTWARE\Classes\exefile\shell\open\command
C:\> reg query
HKLM\SOFTWARE\Classes\htafile\Shell\Open\Command
C:\> reg query
HKLM\SOFTWARE\Classes\piffile\shell\open\command
C:\> reg query
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Current
Version\Explorer\Browser Helper Objects" /s
C:\> reg query
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager"
C:\> reg query
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\KnownDLLs"
C:\> reg query
"HKLM\SYSTEM\ControlSet001\Control\Session
Manager\KnownDLLs"

LOGS

Copy event logs:

C:\> wevtutil epl Security C:\<BACK UP
PATH>\mylogs.evtx
C:\> wevtutil epl System C:\<BACK UP
PATH>\mylogs.evtx
C:\> wevtutil epl Application C:\<BACK UP
PATH>\mylogs.evtx

لیست گزارشات از راه دور:

منبع. https://technet.microsoft.com/en­ us/sysinternals/psloglist.aspx

C:\> psloglist \\<REMOTE COMPUTER> -accepteula -h 12
-x

پاک نمودن تمامی گزارشات تا نقطه baseline:

PS C:\> wevtutil el I Foreach-Object {wevtutil cl
"$_"}

لیست نام و مسیر فایل های گزارشات:

C:\> wmic nteventlog get path,filename,writeable

عملیات pre breach log export:

PS C:\> wevtutil el I ForEach-Object{Get-Eventlog -
Log "$_" I Export-Csv -Path (:\<BASELINE LOG>,csv -
Append}

عملیات post breach log export:

PS C:\> wevtutil el I ForEach-Object{Get-EventLog -
Log"$_" I Export-Csv -Path C:\<POST BASELINE
LOG>,CSV -Append}

مقایسه baseline دو فایل و post breach logs:

PS C:\> Compare-Object -ReferenceObject $(Get­
Content "C:\<PATH TO FILE>\<ORIGINAL BASELINE
LOGS>.txt") -DifferenceObject $(Get-Content
"C:\<PATH TO FILE>\<POST BASELINE LOGS>.txt") >>
<DIFFERENCES LOG>.txt

تمام گزارشات حذف شده:

PS C:\> wevtutil el I Foreach-Object {wevtutil cl
"$_"}

اطلاعات پرونده ها و درایور ها و محیط های اشتراکی

C:\> net use \\<TARGET IP ADDRESS>
C:\> net share
C:\> net session
C:\> wmic volume list brief
C:\> wmic logicaldisk get
description,filesystem,name,size
C:\> wmic share get name,path

جست و جو فایل های پسوند های مختلف و یا یک فایل:

C:\> dir /A /5 /T:A *,exe *,dll *,bat *·PS1 *,zip
C:\> dir /A /5 /T:A <BAD FILE NAME>,exe

جست و جو فایل های اجرایی (.exe) که از تاریخ Jan 1, 2017 به بعد هستند:

C:\> forfiles /p C:\ /M *,exe /5 /0 +1/1/2017 /C
"cmd /c echo @fdate @ftime @path"

جست و جو فایل های با پسوند های مختلف به صورت همیشگی:

C:\> for %G in (.exe, .dll, .bat, .ps) do forfiles -
p "C:" -m *%G -s -d +1/1/2017 -c "cmd /c echo @fdate
@ftime @path"

جست و جو فایل های بر اساس تاریخ:

C:\> forfiles /PC:\ /5 /0 +1/01/2017 /C "cmd /c
echo @path @fdate"

جست و جو فایل ها بر اساس اندازه: (برای مثال 20 مگابایت)

C:\> forfiles /5 /M * /C "cmd /c if @fsize GEO
2097152 echo @path @fsize"

جست و جو فایل های Alternate Data Streams:

منبع. https://technet.microsoft.com/en­ us/sysinternals/streams.aspx

C:\> streams -s <FILE OR DIRECTORY>

جست و جو فایل های دارای امضا مشکوک و ذخیره آن در csv:

منبع. https://technet.microsoft.com/en­ us/sysinternals/bb897441.aspx

C:\> sigcheck -c -h -s -u -nobanner <FILE OR
DIRECTORY> > <OUTPUT FILENAME>,csv

جست و جو و نمایش فایل های دارای امضا مشکوک در درایو C::

C:\> sigcheck -e -u -vr -s C:\

لیست Dll های unsigned که load شده اند:

منبع. https://technet.microsoft.com/en­ us/sysinternals/bb896656.aspx

C:\> listdlls.exe -u
C:\> listdlls.exe -u <PROCESS NAME OR PID>

اسکن Malware (با استفاده از Windows Defender) به صورت آفلاین:

منبع. http://windows.microsoft.com/en­ us/windows/what-is-windows-defender-offline

C:\> MpCmdRun.exe -SignatureUpdate
C:\> MpCmdRun.exe -Scan

LIVE TRIAGE - لینوکس

اطلاعات سیستم

# uname -a
# up time
# t imedatec t
# mount

اطلاعات کاربر

لیست کاربرانی که ورود کرده اند:

# w

لیست کاربرانی که از راه دور ورود کرده اند:

# lastl og
# last

نمایش ورود های ناموفق:

# fail o
g -a

نمایش کاربران محلی:

# cat /etc/passwd
# cat /etc/shadow

نمایش گروه های محلی:

# cat/etc/group

نمایش دسترسی sudo:

# cat /etc/sudoers

نمایش کاربران با UID 0:

# awk -F: '($3 == "0") {p rint}' /etc/passw
# egrep ':0+' /etc/passw

لیست کلید های احراز هویت معتبر ssh:

# cat /root/.ssh/authorized_keys

لیست فایل هایی که توسط کاربر باز شده است:

# lsof -u <USER NAME>

نمایش تاریخچه bash:

# cat /root/,bash_history

اطلاعات شبکه

نمایش interface های شبکه:

# ifconfig

نمایش ارتباطات شبکه:

# netstat -antup
# netstat -plantux

نمایش پورت های listening:

# netstat -nap

نمایش route ها:

# route

نمایش جدول arp:

# arp -a

نمایش لیست فرآیند ها و پورت های مورد استفاده:

# lsof -i

اطلاعات سرویس ها

لیست فرآیند ها:

# ps -aux

لیست ماژول های بارگذاری شده:

# lsmod

لیست فایل های باز شده:

# lsof

لیست فایل های باز شده تحت شبکه:

# lsof -nPi I cut -f 1 -d " "I uniq I tail -n +2

لیست فایل های باز شده توسط یک فرآیند خاص:

# lsof -c <SERVICE NAME>

لیست کلیه فایل های باز شده توسط یک فرآیند خاص:

# lsof -p <PID>

لیست کلید فرآیند های unlinked در حال اجرا:

# lsof +Ll

لیست فرآیند های یک PID:

#ls -al /proc/<PID>/exe

ذخیره سازی تحلیل های فایل های اجرایی malware ها:

# cp /proc/<PID>/exe >/<SUSPICIOUS FILE NAME TO
SAVE>,elf

نمایش گزارشات به صورت زنده:

# less +F /var/log/messages

لیست سرویس ها:

# chkconfig --list

اطلاعات POLICY, PATCH و تنظیمات

نمایش فایل های درون مسیر pam.d:

# cat /etc/pam.d/common*

اطلاعات AUTORUN و AUTOLOAD:

لیست cron job ها:

# crontab -l

لیست cron job ها که توسط کاربر root و UID صفر است:

# crontab -u root -l

بررسی cron job ها غیر معمول:

# cat /etc/crontab
# ls /etc/cron,*

گزارشات

بررسی تاریخچه دستور های اجرا شده کاربر root:

# cat /root/,*history

بررسی آخرین کاربر وارد شده به سیستم:

# last

اطلاعات فایل ها و درایور ها و محیط های اشتراکی

نمایش میزان استفاده از دیسک:

# df -ah

نمایش فایل های مسیر /etc/init.d:

#ls -la /etc/init.d

اطلاعات بیشتر درباره فایل:

# stat -x <FILE NAME>

تشخیص نوع فایل:

# file <FILE NAME>

نمایش فایل های immutable:

# lsatt r -R / I g rep \-i-"

لیست فایل های مسیر /root:

#ls -la /root

نمایش لیست آخرین فایل های ویرایش شده:

# ls -alt I head

لیست فایل های قابل نوشتن:

#find/ -xdev -type d\( -perm -0002 -a ! -perm -
1000 \) -print

لیست فایل هایی که به تازگی از تاریخ Jan 02, 2017 ایجاد شده اند:

#find/ -n ewermt 2017-01-02q

لیست کلیه فایل ها و ویژگی های آن:

#find/ -printf
%m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%U;%G;%s;%p\n"

لیست فایل های مسیری خاص که timestamp جدید تری دارند:(ممکن است دستکاری شود)

#ls -alt /<DIRECTORY>! head

نمایش جزییات فایل:

# stat /<FILE PATH>/<SUSPICIOUS FILE NAME>

بررسی نوع فایل:

# file /<FILE PATH>/<SUSPICIOUS FILE NAME>

بررسی sign فایل ها برای شناسایی rootkit ها:

Run unix-privsec-check tool:

# wget
https://raw.githubusercontent.com/pentestmonkey/unix
-privesc-check/l_x/unix-privesc-check
# ./unix-privesc-check > output.txt

اجرا chkrootkit:

# apt-get install chkrootkit
# chkrootkit

اجرا rkhunter:

# apt-get install rkhunter
# rkhunter --update
# rkhunter -check

اجرا tiger:

# apt-get install tiger
# tiger
#less /var/log/tiger/security.report,*

اجرا lynis:

# apt-get install lynis
# lynis audit system
# more /var/logs/lynis. log

اجرا Linux Malware Detect (LMD):

# wget http://www.rfxn.com/downloads/maldetect­
current.tar.gz
# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh

دریافت LMD updates:

# maldet -u

اجرا و اسکن LMD برروی مسیری خاص:

# maldet -a /<DIRECTORY>

بررسی و تحلیل MALWARE

بررسی و تحلیل STATIC ANALYSIS

ایجاد Mount live Sysinternals tools drive:

\\live.sysinternals.com\tools

بررسی Signature مربوط به فایل های dlt و exe :

منبع. http://technet.microsoft.com/en­ us/sysinternals/bb897441.aspx

C:\> sigcheck.exe -u -e (:\<DIRECTORY>

ارسال به VirusTotat:

C:\> sigcheck.exe -vt <SUSPICIOUS FILE NAME>

بررسی و تحلیل Windows PE:

نمایش Hex و ASCI فایل های PE{exe یا هر فایلی), با سوییچ و 500 بایت اول -n:

# hexdump -C -n 500 <SUSPICIOUS FILE NAME>
# od -x somefile.exe
# xxd somefile.exe

استفاده از ابزار debug در ویندوز {برای فایل های .java ):

C:\> debug <SUSPICIOUS FILE NAME>
> -d (just type d and get a page at a time of hex)
> -q (quit debugger)

بررسی و تحلیل Windows PE:

اسکریپت زمان و تاریخ کامپایل فایل های PE (فقط برای ویندوز).

منبع. https://www.perl.org/get.html

منبع. http://www.perlmonks.org/bare/?node_id=484287

C:\> perl.exe <SCRIPT NAME>.pl <SUSPICIOUS FILE
NAME>
#! perl -slw
use strict;
$1 . " •
open EXE, '<:raw', $ARGV[0] or die "$ARGV[0] : $!";
my $dos = do{ local$/ = \65536; <EXE>};
die "$ARGV[0] is not a .exe or .dll (sig='${ \substr
$dos, 0, 2 } ')" unless substr( $dos, 0, 2 ) eq 'MZ';
my $coffoff = 8+ unpack 'x60 V', $dos;
read( EXE, $dos, $coffoff - 65536 + 4, 65536 ) or
die$! if $coffoff > 65536;
my $ts = unpack "x$coffoff V", $dos;
print "$ARGV [0] : ", defined $ts
? ( scalar( localtime $ts) "has unfathomable
timestamp value $ts" )
: 'has no timestamp';
_END_

نمایش رشته های داخل PE و طول رشته ها با سوییچ -n:

استفاده از strings در لینوکس:

# strings -n 10 <SUSPICIOUS FILE NAME>

منبع. https://technet.microsoft.com/en­ us/sysinternals/strings.aspx

استفاده از strings در ویندوز:

C:\> strings <SUSPICIOUS FILE NAME>

شناسایی Malware در memory، dump شده با استفاده از Volatility و پروفایل Windows7SPFix64:

منبع, https://github.com/volatilityfoundation/volatility

# python vol.py -f <MEMORY DUMP FILE NAME>.raw -
profile=Win7SPFix64 malfind -D /<OUTPUT DUMP
DIRECTORY>

شناسایی Malware با PID در memory، dump شده با استفاده از Volatility:

# python vol.py -f <MEMORY DUMP FILE NAME>.raw -
profile=Win7SPFix64 malfind -p <PID #> -D /<OUTPUT
DUMP DIRECTORY>

لیست فرآیند ها با استفاده از Volatility:

# python vol.py -f <MEMORY DUMP FILE NAME>.raw -
profile=Win7SPFix64 pslist
# python vol.py -f <MEMORY DUMP FILE NAME>,raw -
profile=Win7SPFix64 pstree

لیست dll ها با استفاده از Volatility:

# python vol.py -f <MEMORY DUMP FILE NAME>.raw -
profile=Win7SPFix64 dlllist
# python vol.py -f <MEMORY DUMP FILE NAME>.raw -
profile=Win7SPFix64 dlldump -D /<OUTPUT DUMP
DIRECTORY>

ابزار بررسی و شناسایی Malware:

منبع. https://github.com/Defense-Cyber-Crime­ Center/DC3-MWCP

نصب ابزار dc3-mwcp:

# setup.py install

استفاده از ابزار dc3-mwcp برای بررسی فایل های مشکوک:

# mwcp-tool.py -p <SUSPICIOUS FILE NAME>

شناسایی MALWARE

ابزار PROCESS EXPLORER

منبع. https://youtu.be/80vfTA9LrBM

مرحله 1: لیست فرآیند ها و بررسی موارد مشکوک :

مرحله 2: بررسی Signature فایل ها :

( نمایش Sigcheck)

مرحله 3: بررسی Strings:

مرحله 4: نمایش DLL:

مرحله 5: توقف و حذف Malware:

مرحله 6: حذف فایل های مشکوکی که در راه اندازی سیستم اجرا می شوند.

مرحله 7: نظارت بر فرآیند ها

منبع. https://technet.microsoft.com/en­ us/sysinternals/processmonitor.aspx

مرحله 8: تکرار مراحل بالا برای شناسایی فایل های مشکوک.

بررسی هش فایل ها

با استفاده از HASH QUERY

استفاده از Api های VirusTotal:

Ref. https://www.virustotal.com/en/documentation/public­ api/ (Prerequisite: Need a VT API Key)

ارسال هش فایل های مشکوک به virustotal با استفاده از ابزار curl:

# curl -v --request POST --url
https://www.virustotal.com/vtapi/v2/file/report' -d
apikey=<VT API KEY> -d 'resource=<SUSPICIOUS FILE
HASH>'

ارسال فایل های مشکوک به virustotal با استفاده از ابزار curl:

# curl -v -F 'file=/<PATH TO FILE>/<SUSPICIOUS FILE
NAME>' -F apikey=<VT API KEY>
https://www.virustotal.com/vtapi/v2/file/scan

استفاده از API های Team Cymru:

منبع. https://hash.cymru.com, http://totalhash.com

نمایش هش های malware ها با استفاده از Team Cymru و ابزار whois: (Note: Output is timestamp of last seen and detection rate)

# whois -h hash,cymru.com <SUSPICIOUS FILE HASH>

HARD DRIVE و MEMORY ACQUISITION

ویندوز

ایحاد memory، dump شده از راه دور:

منبع. http://kromer.pl/malware-analysis/memory­ forensics-using-volatility-toolkit-to-extract­ malware-samples-from-memory-dump/
منبع. http://sourceforge.net/projects/mdd/
منبع. https://technet.microsoft.com/en­ us/sysinternals/psexec.aspx

C: \> psexec. exe \\<HOST NAME OR IP ADDRESS> -u
<DOMAIN>\<PRIVILEGED ACCOUNT> -p <PASSWORD> -c
mdd_l,3.exe --o C:\memory.dmp

منبع. https://github.com/volatilityfoundation/volatility

استخراج فایل های exe و dll از memory، dump شده:

C:\> volatility dlldump -f memory.dmp -0 dumps/
C:\> volatility procmemdump -f memory.dmp -0 dumps/

منبع. https://sourceforge.net/projects/dc3dd/files/dc3dd/7 .2%20-%20Windows/

C:\> dc3dd,exe if=\\,\c: of=d:\<ATTACHED OR TARGET
DRIVE>\<IMAGE NAME>,dd hash=md5 log=d:\<MOUNTED
LOCATION>\<LOG NAME>, log

لینوکس

ایجاد memory dump:

dd if=/dev/fmem of=/tmp/<MEMORY FILE NAME>.dd

ایجاد memory dump با استفاده از ابزار LiME:

منبع. https://github.com/504ensicslabs/lime

# wget
https://github.com/504ensicslabs/LiME/archive/master
.zip
unzip master.zip
# cd LiME-master/src
# make
# cp lime-*,ko /media/=/media/ExternalUSBDriveName/
# insmod lime-3.13.0-79-generic.ko
"path=/media/Exte rna lUSBDriveName/<MEMORY DUMP>, lime
format= raw"

ایجاد کپی از فرآیند مشکوک با استفاده از process ID:

# cp /proc/<SUSPICIOUS PROCESS ID>/exe /<NEW SAVED
LOCATION>

اطلاعات بیشتر درباره فرآیند مشکوک در memory، dump شده:

# gcore <PIO>

استفاده از Strings بر روی فایل:

# strings gcore.*

ایجاد یک کپی از hard drive و partition شامل tog و hash ها:

# dd if=<INPUT DEVICE> of=<IMAGE FILE NAME>
# dc3dd if=/dev/<TARGET DRIVE EXAMPLE SDA OR SDAl>
of=/dev/<MOUNTED LOCATION>\<FILE NAME>.img hash=md5
log=/<MOUNTED LOCATION>/<LOG NAME>.log

ایجاد hard drive و partition بر روی SSH:

# dd if=/dev/<INPUT DEVICE> I ssh <USER
NAME>@<DESTINATION IP ADDRESS> "dd of=<DESTINATION
PATH>"

ارسال hard drive image، zip شده بر روی netcat:

ارسال به میزبان:

# bzip2 -c /dev/<INPUT DEVICE> I nc <DESTINATION IP
ADDRESS> <PICK A PORT>

دریافت توسط میزبان:

# nc -p <PICK SAME PORT> -l lbzip2 -d I dd
of=/dev/sdb

ارسال به میزبان host:

# dd if=/dev/<INPUT DEVICE> bs=16M I nc <PORT>

دریافت توسط میزبان با استفاده از Pipe Viewer meter:

# nc -p <SAME PORT> -l -vv I pv -r I dd
of=/dev/<INPUT DEVICE> bs=16M