تیم آبی

برگه رمز هایی برای شکارگران تهدید

سرآغاز آماده سازی امن سازی شناسایی دامنه محافظت و دفاع نظارت تحلیل پس از حمله روش ها و نکته ها لیست کنترل مدیریت حادثه شناسایی حادثه

تحلیل

LIVE TRIAGE - ویندوز

اطلاعات سیستم

C:\> echo %DATE% %TIME%
C:\> hostname
C:\> systeminfo
C:\> systeminfo I findstr /B /C:"OS Name" /C:"OS
Version"
C:\> wmic csproduct get name
C:\> wmic bios get serialnumber
C:\> wmic computersystem list brief

منبع. https://technet.microsoft.com/en­ us/sysinternals/psinfo.aspx

C:\> psinfo -accepteula -s -h -d

اطلاعات کاربر

C:\> whoami
C:\> net users
C:\> net localgroup administrators
C:\> net group administrators
C:\> wmic rdtoggle list
C:\> wmic useraccount list
C:\> wmic group list
C:\> wmic netlogin get
name, lastlogon,badpasswordcount
C:\> wmic netclient list brief
C:\> doskey /history> history.txt

اطلاعات شبکه

C:\> netstat -e
C:\> netstat -naob
C:\> netstat -nr
C:\> netstat -vb
C:\> nbtstat -s
C:\> route print
C:\> arp -a
C:\> ipconfig /displaydns
C:\> netsh winhttp show proxy
C:\> ipconfig /allcompartments /all
C:\> netsh wlan show interfaces
C:\> netsh wlan show all
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Inte
rnet Settings\Connections\WinHttpSettings"
C:\> type %SYSTEMROOT%\system32\drivers\etc\hosts
C:\> wmic nicconfig get
descriptions,IPaddress,MACaddress
C:\> wmic netuse get
name,username,connectiontype, localname

اطلاعات سرویس ها

C:\> at
C:\> tasklist
C:\> task list /SVC
C:\> tasklist /SVC /fi "imagename eq svchost.exe"
C:\> schtasks
C:\> net start
C:\> sc query
C:\> wmic service list brief I findstr "Running"
C:\> wmic service list conf ig
C:\> wmic process list brief
C:\> wmic process list status
C:\> wmic process list memory
C:\> wmic job list brief
PS C:\> Get-Service I Where-Object { $_.Status -eq
"running" }

لیست تمام سرویس و ماژول ها:

PS C:\> Get-Process !select modules!Foreach­
Object{$_.modules}

اطلاعات POLICY, PATCH و تنظیمات

C:\> set
C:\> gpresult /r
C:\> gpresult /z > <OUTPUT FILE NAME>.txt
C:\> gpresult /H report.html /F
C:\> wmic qfe

لیست نرم افزار های GPO نصب شده:

C:\> reg query
uHKLM\Software\Microsoft\Windows\Current
Version\Group Policy\AppMgmt"

اطلاعات AUTORUN و AUTOLOAD

Startup information:
C:\> wmic startup list full
C:\> wmic ntdomain list brief

نمایش محتوای مسیر سرویس های راه انداز:

C:\> dir
"%SystemDrive%\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Sta rtup"
C:\> dir "%SystemDrive%\Documents and Settings\All
Use rs\Sta rt Menu\Prog rams\Sta rtup"
C:\> dir %userprofile%\Start Menu\Programs\Startup
C:\> %ProgramFiles%\Startup\
C:\> dir C:\Windows\Start Menu\Programs\startup
C:\> dir
"C:\Users\%username%\AppData\Roaming\Microsoft\Windo
ws\Start Menu\Programs\Startup"
C:\> dir "C:\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Sta rtup"
C:\> dir "%APPDATA%\Microsoft\Windows\Start
Menu\Prog rams\Sta rtup"
C:\> dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start
Menu\Prog rams\Sta rtup"
C:\> dir "%ALLUSERSPROFILE%\Start
Menu\P rog rams\Sta rtup"
C:\> type C:\Windows\winstart.bat
C:\> type %windir%\wininit.ini
C:\> type %windir%\win.ini

نمایش autorun ها و فایل های مخفی ماکروسافت:

منبع. https://technet.microsoft.com/en­ us/sysinternals/bb963902.aspx

C:\> autorunsc -accepteula -m
C:\> type C:\Autoexec.bat"

نمایش تمامی فایل های autorun و ذخیره سازی آن ها در csv و بررسی آن توسط virustotal:

C:\> autorunsc.exe -accepteula -a -c -i -e -f -l -m
-v

HKEY_CLASSES_ROOT:

C:\> reg query HKCR\Comfile\Shell\Open\Command
C:\> reg query HKCR\Batfile\Shell\Open\Command
C:\> reg query HKCR\htafile\Shell\Open\Command
C:\> reg query HKCR\Exefile\Shell\Open\Command
C:\> reg query HKCR\Exefiles\Shell\Open\Command
C:\> reg query HKCR\piffile\shell\open\command

HKEY_CURRENT_USERS:

C:\> reg query uHKCU\Control Panel\Desktop"
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Runon
ce
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOn
ceEx
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe
rvices
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe
rv ices Once
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Load
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Scripts
C:\> reg query «HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows « /f run
C:\> reg query «HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows « /f load
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\RecentDocs
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComDlg32\LastVisitedMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComD1g32\0pen5aveMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComDlg32\LastVisitedPidlMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComD1g32\0pen5avePidlMRU /s
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\RunMRU
C:\> reg query
«HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Shell Folders"
C:\> reg query
uHKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\User Shell Folders"
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Apple
ts\RegEdit /v LastKey
C:\> reg query "HKCU\Software\Microsoft\Internet
Exp lo re r\ TypedURLs"
C:\> reg query
uHKCU\Software\Policies\Microsoft\Windows\Control
Panel \Desktop"

HKEY_LOCAL_MACHINE:

C: \> reg query uHKLM\SOFTWARE\Mic rosoft\Act ive
Setup\Installed Components" /s
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\expl
orer\User Shell Folders"
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\expl
orer\Shell Folders"
C:\> reg query
HKLM\Software\Microsoft\Windows\CurrentVersion\explo
rer\ShellExecuteHooks
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl
orer\Browser Helper Objects" /s
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
ce
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOn
ceEx
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe
rvices
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe
rvicesOnce
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlo
gon\Userinit
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\shell
ServiceObjectDelayLoad
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Schedule\TaskCache\Tasks" /s
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows"
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows" /f Appinit_DLLs
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon" /f Shell
C: \> reg query "HKLM\SOFTWARE\Mic rosoft\Windows
NT\CurrentVersion\Winlogon" /f Userinit
C:\> reg query
HKLM\SOFTWARE\Policies\Microsoft\Windows\Systern\Scri
pts
C:\> reg query
HKLM\SOFTWARE\Classes\batfile\shell\open\cornrnand
C:\> reg query
HKLM\SOFTWARE\Classes\cornfile\shell\open\cornrnand
C:\> reg query
HKLM\SOFTWARE\Classes\exefile\shell\open\command
C:\> reg query
HKLM\SOFTWARE\Classes\htafile\Shell\Open\Command
C:\> reg query
HKLM\SOFTWARE\Classes\piffile\shell\open\command
C:\> reg query
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Current
Version\Explorer\Browser Helper Objects" /s
C:\> reg query
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager"
C:\> reg query
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\KnownDLLs"
C:\> reg query
"HKLM\SYSTEM\ControlSet001\Control\Session
Manager\KnownDLLs"

LOGS

Copy event logs:

C:\> wevtutil epl Security C:\<BACK UP
PATH>\mylogs.evtx
C:\> wevtutil epl System C:\<BACK UP
PATH>\mylogs.evtx
C:\> wevtutil epl Application C:\<BACK UP
PATH>\mylogs.evtx

لیست گزارشات از راه دور:

منبع. https://technet.microsoft.com/en­ us/sysinternals/psloglist.aspx

C:\> psloglist \\<REMOTE COMPUTER> -accepteula -h 12
-x

پاک نمودن تمامی گزارشات تا نقطه baseline:

PS C:\> wevtutil el I Foreach-Object {wevtutil cl
"$_"}

لیست نام و مسیر فایل های گزارشات:

C:\> wmic nteventlog get path,filename,writeable

عملیات pre breach log export:

PS C:\> wevtutil el I ForEach-Object{Get-Eventlog -
Log "$_" I Export-Csv -Path (:\<BASELINE LOG>,csv -
Append}

عملیات post breach log export:

PS C:\> wevtutil el I ForEach-Object{Get-EventLog -
Log"$_" I Export-Csv -Path C:\<POST BASELINE
LOG>,CSV -Append}

مقایسه baseline دو فایل و post breach logs:

PS C:\> Compare-Object -ReferenceObject $(Get­
Content "C:\<PATH TO FILE>\<ORIGINAL BASELINE
LOGS>.txt") -DifferenceObject $(Get-Content
"C:\<PATH TO FILE>\<POST BASELINE LOGS>.txt") >>
<DIFFERENCES LOG>.txt

تمام گزارشات حذف شده:

PS C:\> wevtutil el I Foreach-Object {wevtutil cl
"$_"}

اطلاعات پرونده ها و درایور ها و محیط های اشتراکی

C:\> net use \\<TARGET IP ADDRESS>
C:\> net share
C:\> net session
C:\> wmic volume list brief
C:\> wmic logicaldisk get
description,filesystem,name,size
C:\> wmic share get name,path

جست و جو فایل های پسوند های مختلف و یا یک فایل:

C:\> dir /A /5 /T:A *,exe *,dll *,bat *·PS1 *,zip
C:\> dir /A /5 /T:A <BAD FILE NAME>,exe

جست و جو فایل های اجرایی (.exe) که از تاریخ Jan 1, 2017 به بعد هستند:

C:\> forfiles /p C:\ /M *,exe /5 /0 +1/1/2017 /C
"cmd /c echo @fdate @ftime @path"

جست و جو فایل های با پسوند های مختلف به صورت همیشگی:

C:\> for %G in (.exe, .dll, .bat, .ps) do forfiles -
p "C:" -m *%G -s -d +1/1/2017 -c "cmd /c echo @fdate
@ftime @path"

جست و جو فایل های بر اساس تاریخ:

C:\> forfiles /PC:\ /5 /0 +1/01/2017 /C "cmd /c
echo @path @fdate"

جست و جو فایل ها بر اساس اندازه: (برای مثال 20 مگابایت)

C:\> forfiles /5 /M * /C "cmd /c if @fsize GEO
2097152 echo @path @fsize"

جست و جو فایل های Alternate Data Streams:

منبع. https://technet.microsoft.com/en­ us/sysinternals/streams.aspx

C:\> streams -s <FILE OR DIRECTORY>

جست و جو فایل های دارای امضا مشکوک و ذخیره آن در csv:

منبع. https://technet.microsoft.com/en­ us/sysinternals/bb897441.aspx

C:\> sigcheck -c -h -s -u -nobanner <FILE OR
DIRECTORY> > <OUTPUT FILENAME>,csv

جست و جو و نمایش فایل های دارای امضا مشکوک در درایو C::

C:\> sigcheck -e -u -vr -s C:\

لیست Dll های unsigned که load شده اند:

منبع. https://technet.microsoft.com/en­ us/sysinternals/bb896656.aspx

C:\> listdlls.exe -u
C:\> listdlls.exe -u <PROCESS NAME OR PID>

اسکن Malware (با استفاده از Windows Defender) به صورت آفلاین:

منبع. http://windows.microsoft.com/en­ us/windows/what-is-windows-defender-offline

C:\> MpCmdRun.exe -SignatureUpdate
C:\> MpCmdRun.exe -Scan

LIVE TRIAGE - لینوکس

اطلاعات سیستم

# uname -a
# up time
# t imedatec t
# mount

اطلاعات کاربر

لیست کاربرانی که ورود کرده اند:

# w

لیست کاربرانی که از راه دور ورود کرده اند:

# lastl og
# last

نمایش ورود های ناموفق:

# fail o
g -a

نمایش کاربران محلی:

# cat /etc/passwd
# cat /etc/shadow

نمایش گروه های محلی:

# cat/etc/group

نمایش دسترسی sudo:

# cat /etc/sudoers

نمایش کاربران با UID 0:

# awk -F: '($3 == "0") {p rint}' /etc/passw
# egrep ':0+' /etc/passw

لیست کلید های احراز هویت معتبر ssh:

# cat /root/.ssh/authorized_keys

لیست فایل هایی که توسط کاربر باز شده است:

# lsof -u <USER NAME>

نمایش تاریخچه bash:

# cat /root/,bash_history

اطلاعات شبکه

نمایش interface های شبکه:

# ifconfig

نمایش ارتباطات شبکه:

# netstat -antup
# netstat -plantux

نمایش پورت های listening:

# netstat -nap

نمایش route ها:

# route

نمایش جدول arp:

# arp -a

نمایش لیست فرآیند ها و پورت های مورد استفاده:

# lsof -i

اطلاعات سرویس ها

لیست فرآیند ها:

# ps -aux

لیست ماژول های بارگذاری شده:

# lsmod

لیست فایل های باز شده:

# lsof

لیست فایل های باز شده تحت شبکه:

# lsof -nPi I cut -f 1 -d " "I uniq I tail -n +2

لیست فایل های باز شده توسط یک فرآیند خاص:

# lsof -c <SERVICE NAME>

لیست کلیه فایل های باز شده توسط یک فرآیند خاص:

# lsof -p <PID>

لیست کلید فرآیند های unlinked در حال اجرا:

# lsof +Ll

لیست فرآیند های یک PID:

#ls -al /proc/<PID>/exe

ذخیره سازی تحلیل های فایل های اجرایی malware ها:

# cp /proc/<PID>/exe >/<SUSPICIOUS FILE NAME TO
SAVE>,elf

نمایش گزارشات به صورت زنده:

# less +F /var/log/messages

لیست سرویس ها:

# chkconfig --list

اطلاعات POLICY, PATCH و تنظیمات

نمایش فایل های درون مسیر pam.d:

# cat /etc/pam.d/common*

اطلاعات AUTORUN و AUTOLOAD:

لیست cron job ها:

# crontab -l

لیست cron job ها که توسط کاربر root و UID صفر است:

# crontab -u root -l

بررسی cron job ها غیر معمول:

# cat /etc/crontab
# ls /etc/cron,*

گزارشات

بررسی تاریخچه دستور های اجرا شده کاربر root:

# cat /root/,*history

بررسی آخرین کاربر وارد شده به سیستم:

# last

اطلاعات فایل ها و درایور ها و محیط های اشتراکی

نمایش میزان استفاده از دیسک:

# df -ah

نمایش فایل های مسیر /etc/init.d:

#ls -la /etc/init.d

اطلاعات بیشتر درباره فایل:

# stat -x <FILE NAME>

تشخیص نوع فایل:

# file <FILE NAME>

نمایش فایل های immutable:

# lsatt r -R / I g rep \-i-"

لیست فایل های مسیر /root:

#ls -la /root

نمایش لیست آخرین فایل های ویرایش شده:

# ls -alt I head

لیست فایل های قابل نوشتن:

#find/ -xdev -type d\( -perm -0002 -a ! -perm -
1000 \) -print

لیست فایل هایی که به تازگی از تاریخ Jan 02, 2017 ایجاد شده اند:

#find/ -n ewermt 2017-01-02q

لیست کلیه فایل ها و ویژگی های آن:

#find/ -printf
%m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%U;%G;%s;%p\n"

لیست فایل های مسیری خاص که timestamp جدید تری دارند:(ممکن است دستکاری شود)

#ls -alt /<DIRECTORY>! head

نمایش جزییات فایل:

# stat /<FILE PATH>/<SUSPICIOUS FILE NAME>

بررسی نوع فایل:

# file /<FILE PATH>/<SUSPICIOUS FILE NAME>

بررسی sign فایل ها برای شناسایی rootkit ها:

Run unix-privsec-check tool:

# wget
https://raw.githubusercontent.com/pentestmonkey/unix
-privesc-check/l_x/unix-privesc-check
# ./unix-privesc-check > output.txt

اجرا chkrootkit:

# apt-get install chkrootkit
# chkrootkit

اجرا rkhunter:

# apt-get install rkhunter
# rkhunter --update
# rkhunter -check

اجرا tiger:

# apt-get install tiger
# tiger
#less /var/log/tiger/security.report,*

اجرا lynis:

# apt-get install lynis
# lynis audit system
# more /var/logs/lynis. log

اجرا Linux Malware Detect (LMD):

# wget http://www.rfxn.com/downloads/maldetect­
current.tar.gz
# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh

دریافت LMD updates:

# maldet -u

اجرا و اسکن LMD برروی مسیری خاص:

# maldet -a /<DIRECTORY>

بررسی و تحلیل USB

usbrip

نمایش وقایع

usbrip events violations auth.json

بررسی و تحلیل git

نمایش تاریخچه

git log

نمایش محتویات commit

git checkout <commit> --force 

بررسی و تحلیل MALWARE

بررسی و تحلیل STATIC ANALYSIS

ایجاد Mount live Sysinternals tools drive:

\\live.sysinternals.com\tools

بررسی Signature مربوط به فایل های dlt و exe :

منبع. http://technet.microsoft.com/en­ us/sysinternals/bb897441.aspx

C:\> sigcheck.exe -u -e (:\<DIRECTORY>

ارسال به VirusTotat:

C:\> sigcheck.exe -vt <SUSPICIOUS FILE NAME>

بررسی و تحلیل شل کدها

‍‍‍‍```text http://sandsprite.com/CodeStuff/scdbg_manual/MANUAL_EN.html


#### بررسی و تحلیل Windows PE:

#### نمایش Hex و ASCI فایل های PE{exe یا هر فایلی\), با سوییچ و 500 بایت اول -n:

```text
# hexdump -C -n 500 <SUSPICIOUS FILE NAME>
# od -x somefile.exe
# xxd somefile.exe

استفاده از ابزار debug در ویندوز {برای فایل های .java ):

C:\> debug <SUSPICIOUS FILE NAME>
> -d (just type d and get a page at a time of hex)
> -q (quit debugger)

بررسی و تحلیل Windows PE:

اسکریپت زمان و تاریخ کامپایل فایل های PE (فقط برای ویندوز).

منبع. https://www.perl.org/get.html

منبع. http://www.perlmonks.org/bare/?node_id=484287

C:\> perl.exe <SCRIPT NAME>.pl <SUSPICIOUS FILE
NAME>
#! perl -slw
use strict;
$1 . " •
open EXE, '<:raw', $ARGV[0] or die "$ARGV[0] : $!";
my $dos = do{ local$/ = \65536; <EXE>};
die "$ARGV[0] is not a .exe or .dll (sig='${ \substr
$dos, 0, 2 } ')" unless substr( $dos, 0, 2 ) eq 'MZ';
my $coffoff = 8+ unpack 'x60 V', $dos;
read( EXE, $dos, $coffoff - 65536 + 4, 65536 ) or
die$! if $coffoff > 65536;
my $ts = unpack "x$coffoff V", $dos;
print "$ARGV [0] : ", defined $ts
? ( scalar( localtime $ts) "has unfathomable
timestamp value $ts" )
: 'has no timestamp';
_END_

نمایش رشته های داخل PE و طول رشته ها با سوییچ -n:

استفاده از strings در لینوکس:

# strings -n 10 <SUSPICIOUS FILE NAME>

منبع. https://technet.microsoft.com/en­ us/sysinternals/strings.aspx

استفاده از strings در ویندوز:

C:\> strings <SUSPICIOUS FILE NAME>

شناسایی Malware در memory، dump شده با استفاده از Volatility و پروفایل Windows7SPFix64:

منبع, https://github.com/volatilityfoundation/volatility

# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 malfind -D /<OUTPUT DUMP DIRECTORY>

شناسایی Malware با PID در memory، dump شده با استفاده از Volatility:

# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 malfind -p <PID #> -D /<OUTPUT DUMP DIRECTORY>

لیست فرآیند ها با استفاده از Volatility:

# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 pslist
# python vol.py -f <MEMORY DUMP FILE NAME>,raw -−profile=Win7SPFix64 pstree

لیست dll ها با استفاده از Volatility:

# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 dlllist
# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 dlldump -D /<OUTPUT DUMP DIRECTORY>

#### خروجی از حافظه پروسه مشخص

 volatility -f flounder-pc-memdump.elf --profile=<PROFILE> memdump -p <PID> -D dump

ابزار بررسی و شناسایی Malware:

منبع. https://github.com/Defense-Cyber-Crime­ Center/DC3-MWCP

نصب ابزار dc3-mwcp:

# setup.py install

استفاده از ابزار dc3-mwcp برای بررسی فایل های مشکوک:

# mwcp-tool.py -p <SUSPICIOUS FILE NAME>

شناسایی MALWARE

ابزار PROCESS EXPLORER

منبع. https://youtu.be/80vfTA9LrBM

مرحله 1: لیست فرآیند ها و بررسی موارد مشکوک :

مرحله 2: بررسی Signature فایل ها :

( نمایش Sigcheck)

مرحله 3: بررسی Strings:

مرحله 4: نمایش DLL:

مرحله 5: توقف و حذف Malware:

مرحله 6: حذف فایل های مشکوکی که در راه اندازی سیستم اجرا می شوند.

مرحله 7: نظارت بر فرآیند ها

منبع. https://technet.microsoft.com/en­ us/sysinternals/processmonitor.aspx

مرحله 8: تکرار مراحل بالا برای شناسایی فایل های مشکوک.

بررسی هش فایل ها

با استفاده از HASH QUERY

استفاده از Api های VirusTotal:

Ref. https://www.virustotal.com/en/documentation/public­ api/ (Prerequisite: Need a VT API Key)

ارسال هش فایل های مشکوک به virustotal با استفاده از ابزار curl:

# curl -v --request POST --url
https://www.virustotal.com/vtapi/v2/file/report' -d
apikey=<VT API KEY> -d 'resource=<SUSPICIOUS FILE
HASH>'

ارسال فایل های مشکوک به virustotal با استفاده از ابزار curl:

# curl -v -F 'file=/<PATH TO FILE>/<SUSPICIOUS FILE
NAME>' -F apikey=<VT API KEY>
https://www.virustotal.com/vtapi/v2/file/scan

استفاده از API های Team Cymru:

منبع. https://hash.cymru.com, http://totalhash.com

نمایش هش های malware ها با استفاده از Team Cymru و ابزار whois: (Note: Output is timestamp of last seen and detection rate)

# whois -h hash,cymru.com <SUSPICIOUS FILE HASH>

HARD DRIVE و MEMORY ACQUISITION

ویندوز

ایحاد memory، dump شده از راه دور:

منبع. http://kromer.pl/malware-analysis/memory­ forensics-using-volatility-toolkit-to-extract­ malware-samples-from-memory-dump/
منبع. http://sourceforge.net/projects/mdd/
منبع. https://technet.microsoft.com/en­ us/sysinternals/psexec.aspx

C: \> psexec. exe \\<HOST NAME OR IP ADDRESS> -u
<DOMAIN>\<PRIVILEGED ACCOUNT> -p <PASSWORD> -c
mdd_l,3.exe --o C:\memory.dmp

منبع. https://github.com/volatilityfoundation/volatility

استخراج فایل های exe و dll از memory، dump شده:

C:\> volatility dlldump -f memory.dmp -0 dumps/
C:\> volatility procmemdump -f memory.dmp -0 dumps/

منبع. https://sourceforge.net/projects/dc3dd/files/dc3dd/7 .2%20-%20Windows/

C:\> dc3dd,exe if=\\,\c: of=d:\<ATTACHED OR TARGET
DRIVE>\<IMAGE NAME>,dd hash=md5 log=d:\<MOUNTED
LOCATION>\<LOG NAME>, log

لینوکس

ایجاد memory dump:

dd if=/dev/fmem of=/tmp/<MEMORY FILE NAME>.dd

ایجاد memory dump با استفاده از ابزار LiME:

منبع. https://github.com/504ensicslabs/lime

# wget
https://github.com/504ensicslabs/LiME/archive/master
.zip
unzip master.zip
# cd LiME-master/src
# make
# cp lime-*,ko /media/=/media/ExternalUSBDriveName/
# insmod lime-3.13.0-79-generic.ko
"path=/media/Exte rna lUSBDriveName/<MEMORY DUMP>, lime
format= raw"

ایجاد کپی از فرآیند مشکوک با استفاده از process ID:

# cp /proc/<SUSPICIOUS PROCESS ID>/exe /<NEW SAVED
LOCATION>

اطلاعات بیشتر درباره فرآیند مشکوک در memory، dump شده:

# gcore <PIO>

استفاده از Strings بر روی فایل:

# strings gcore.*

ایجاد یک کپی از hard drive و partition شامل tog و hash ها:

# dd if=<INPUT DEVICE> of=<IMAGE FILE NAME>
# dc3dd if=/dev/<TARGET DRIVE EXAMPLE SDA OR SDAl>
of=/dev/<MOUNTED LOCATION>\<FILE NAME>.img hash=md5
log=/<MOUNTED LOCATION>/<LOG NAME>.log

ایجاد hard drive و partition بر روی SSH:

# dd if=/dev/<INPUT DEVICE> I ssh <USER
NAME>@<DESTINATION IP ADDRESS> "dd of=<DESTINATION
PATH>"

ارسال hard drive image، zip شده بر روی netcat:

ارسال به میزبان:

# bzip2 -c /dev/<INPUT DEVICE> I nc <DESTINATION IP
ADDRESS> <PICK A PORT>

دریافت توسط میزبان:

# nc -p <PICK SAME PORT> -l lbzip2 -d I dd
of=/dev/sdb

ارسال به میزبان host:

# dd if=/dev/<INPUT DEVICE> bs=16M I nc <PORT>

دریافت توسط میزبان با استفاده از Pipe Viewer meter:

# nc -p <SAME PORT> -l -vv I pv -r I dd
of=/dev/<INPUT DEVICE> bs=16M

وبسایت های رمزنگاری

https://www.dcode.fr/
https://gchq.github.io/CyberChef/
https://crackstation.net/

بررسی داده های مخفی در فایل با StegCracker

https://github.com/Paradoxis/StegCracker
For example: stegcracker image.jpg

بررسی داده های مخفی در عکس با اسکریپت بش StegExtract

sudo curl https://raw.githubusercontent.com/evyatarmeged/stegextract/master/stegextract > /usr/local/bin/stegextract
sudo chmod +x /usr/local/bin/stegextract
For example: stegextract simple.gif --analysis --string

بررسی داده های مخفی در عکس با StegSolve

wget http://www.caesum.com/handbook/Stegsolve.jar -O stegsolve.jar
chmod +x stegsolve.jar
java -jar stegsolve.jar

بررسی داده های مخفی در فایل با exiftool

sudo apt-get install libimage-exiftool-perl
For example: exiftool poissonrecon.pdf

بررسی داده های مخفی در موسیقی با Sonic Visualizer

https://www.sonicvisualiser.org/download.html
For example: Pane->Add Spectrogram->Channel 1

بررسی داده های مخفی در موسیقی با spek

apt-get install spek