تحلیل
LIVE TRIAGE - ویندوز
اطلاعات سیستم
C:\> echo %DATE% %TIME%
C:\> hostname
C:\> systeminfo
C:\> systeminfo I findstr /B /C:"OS Name" /C:"OS
Version"
C:\> wmic csproduct get name
C:\> wmic bios get serialnumber
C:\> wmic computersystem list brief
منبع. https://technet.microsoft.com/en us/sysinternals/psinfo.aspx
C:\> psinfo -accepteula -s -h -d
اطلاعات کاربر
C:\> whoami
C:\> net users
C:\> net localgroup administrators
C:\> net group administrators
C:\> wmic rdtoggle list
C:\> wmic useraccount list
C:\> wmic group list
C:\> wmic netlogin get
name, lastlogon,badpasswordcount
C:\> wmic netclient list brief
C:\> doskey /history> history.txt
اطلاعات شبکه
C:\> netstat -e
C:\> netstat -naob
C:\> netstat -nr
C:\> netstat -vb
C:\> nbtstat -s
C:\> route print
C:\> arp -a
C:\> ipconfig /displaydns
C:\> netsh winhttp show proxy
C:\> ipconfig /allcompartments /all
C:\> netsh wlan show interfaces
C:\> netsh wlan show all
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Inte
rnet Settings\Connections\WinHttpSettings"
C:\> type %SYSTEMROOT%\system32\drivers\etc\hosts
C:\> wmic nicconfig get
descriptions,IPaddress,MACaddress
C:\> wmic netuse get
name,username,connectiontype, localname
اطلاعات سرویس ها
C:\> at
C:\> tasklist
C:\> task list /SVC
C:\> tasklist /SVC /fi "imagename eq svchost.exe"
C:\> schtasks
C:\> net start
C:\> sc query
C:\> wmic service list brief I findstr "Running"
C:\> wmic service list conf ig
C:\> wmic process list brief
C:\> wmic process list status
C:\> wmic process list memory
C:\> wmic job list brief
PS C:\> Get-Service I Where-Object { $_.Status -eq
"running" }
لیست تمام سرویس و ماژول ها:
PS C:\> Get-Process !select modules!Foreach
Object{$_.modules}
اطلاعات POLICY, PATCH و تنظیمات
C:\> set
C:\> gpresult /r
C:\> gpresult /z > <OUTPUT FILE NAME>.txt
C:\> gpresult /H report.html /F
C:\> wmic qfe
لیست نرم افزار های GPO نصب شده:
C:\> reg query
uHKLM\Software\Microsoft\Windows\Current
Version\Group Policy\AppMgmt"
اطلاعات AUTORUN و AUTOLOAD
Startup information:
C:\> wmic startup list full
C:\> wmic ntdomain list brief
نمایش محتوای مسیر سرویس های راه انداز:
C:\> dir
"%SystemDrive%\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Sta rtup"
C:\> dir "%SystemDrive%\Documents and Settings\All
Use rs\Sta rt Menu\Prog rams\Sta rtup"
C:\> dir %userprofile%\Start Menu\Programs\Startup
C:\> %ProgramFiles%\Startup\
C:\> dir C:\Windows\Start Menu\Programs\startup
C:\> dir
"C:\Users\%username%\AppData\Roaming\Microsoft\Windo
ws\Start Menu\Programs\Startup"
C:\> dir "C:\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Sta rtup"
C:\> dir "%APPDATA%\Microsoft\Windows\Start
Menu\Prog rams\Sta rtup"
C:\> dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start
Menu\Prog rams\Sta rtup"
C:\> dir "%ALLUSERSPROFILE%\Start
Menu\P rog rams\Sta rtup"
C:\> type C:\Windows\winstart.bat
C:\> type %windir%\wininit.ini
C:\> type %windir%\win.ini
نمایش autorun ها و فایل های مخفی ماکروسافت:
منبع. https://technet.microsoft.com/en us/sysinternals/bb963902.aspx
C:\> autorunsc -accepteula -m
C:\> type C:\Autoexec.bat"
نمایش تمامی فایل های autorun و ذخیره سازی آن ها در csv و بررسی آن توسط virustotal:
C:\> autorunsc.exe -accepteula -a -c -i -e -f -l -m
-v
HKEY_CLASSES_ROOT:
C:\> reg query HKCR\Comfile\Shell\Open\Command
C:\> reg query HKCR\Batfile\Shell\Open\Command
C:\> reg query HKCR\htafile\Shell\Open\Command
C:\> reg query HKCR\Exefile\Shell\Open\Command
C:\> reg query HKCR\Exefiles\Shell\Open\Command
C:\> reg query HKCR\piffile\shell\open\command
HKEY_CURRENT_USERS:
C:\> reg query uHKCU\Control Panel\Desktop"
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Runon
ce
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOn
ceEx
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe
rvices
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe
rv ices Once
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Load
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Windo
ws\Scripts
C:\> reg query «HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows « /f run
C:\> reg query «HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows « /f load
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\RecentDocs
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComDlg32\LastVisitedMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComD1g32\0pen5aveMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComDlg32\LastVisitedPidlMRU
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComD1g32\0pen5avePidlMRU /s
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\RunMRU
C:\> reg query
«HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Shell Folders"
C:\> reg query
uHKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\User Shell Folders"
C:\> reg query
HKCU\Software\Microsoft\Windows\CurrentVersion\Apple
ts\RegEdit /v LastKey
C:\> reg query "HKCU\Software\Microsoft\Internet
Exp lo re r\ TypedURLs"
C:\> reg query
uHKCU\Software\Policies\Microsoft\Windows\Control
Panel \Desktop"
HKEY_LOCAL_MACHINE:
C: \> reg query uHKLM\SOFTWARE\Mic rosoft\Act ive
Setup\Installed Components" /s
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\expl
orer\User Shell Folders"
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\expl
orer\Shell Folders"
C:\> reg query
HKLM\Software\Microsoft\Windows\CurrentVersion\explo
rer\ShellExecuteHooks
C:\> reg query
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl
orer\Browser Helper Objects" /s
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer\Run
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
ce
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOn
ceEx
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe
rvices
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe
rvicesOnce
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlo
gon\Userinit
C:\> reg query
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\shell
ServiceObjectDelayLoad
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Schedule\TaskCache\Tasks" /s
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows"
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows" /f Appinit_DLLs
C:\> reg query "HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon" /f Shell
C: \> reg query "HKLM\SOFTWARE\Mic rosoft\Windows
NT\CurrentVersion\Winlogon" /f Userinit
C:\> reg query
HKLM\SOFTWARE\Policies\Microsoft\Windows\Systern\Scri
pts
C:\> reg query
HKLM\SOFTWARE\Classes\batfile\shell\open\cornrnand
C:\> reg query
HKLM\SOFTWARE\Classes\cornfile\shell\open\cornrnand
C:\> reg query
HKLM\SOFTWARE\Classes\exefile\shell\open\command
C:\> reg query
HKLM\SOFTWARE\Classes\htafile\Shell\Open\Command
C:\> reg query
HKLM\SOFTWARE\Classes\piffile\shell\open\command
C:\> reg query
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Current
Version\Explorer\Browser Helper Objects" /s
C:\> reg query
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager"
C:\> reg query
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\KnownDLLs"
C:\> reg query
"HKLM\SYSTEM\ControlSet001\Control\Session
Manager\KnownDLLs"
LOGS
Copy event logs:
C:\> wevtutil epl Security C:\<BACK UP
PATH>\mylogs.evtx
C:\> wevtutil epl System C:\<BACK UP
PATH>\mylogs.evtx
C:\> wevtutil epl Application C:\<BACK UP
PATH>\mylogs.evtx
لیست گزارشات از راه دور:
منبع. https://technet.microsoft.com/en us/sysinternals/psloglist.aspx
C:\> psloglist \\<REMOTE COMPUTER> -accepteula -h 12
-x
پاک نمودن تمامی گزارشات تا نقطه baseline:
PS C:\> wevtutil el I Foreach-Object {wevtutil cl
"$_"}
لیست نام و مسیر فایل های گزارشات:
C:\> wmic nteventlog get path,filename,writeable
عملیات pre breach log export:
PS C:\> wevtutil el I ForEach-Object{Get-Eventlog -
Log "$_" I Export-Csv -Path (:\<BASELINE LOG>,csv -
Append}
عملیات post breach log export:
PS C:\> wevtutil el I ForEach-Object{Get-EventLog -
Log"$_" I Export-Csv -Path C:\<POST BASELINE
LOG>,CSV -Append}
مقایسه baseline دو فایل و post breach logs:
PS C:\> Compare-Object -ReferenceObject $(Get
Content "C:\<PATH TO FILE>\<ORIGINAL BASELINE
LOGS>.txt") -DifferenceObject $(Get-Content
"C:\<PATH TO FILE>\<POST BASELINE LOGS>.txt") >>
<DIFFERENCES LOG>.txt
تمام گزارشات حذف شده:
PS C:\> wevtutil el I Foreach-Object {wevtutil cl
"$_"}
اطلاعات پرونده ها و درایور ها و محیط های اشتراکی
C:\> net use \\<TARGET IP ADDRESS>
C:\> net share
C:\> net session
C:\> wmic volume list brief
C:\> wmic logicaldisk get
description,filesystem,name,size
C:\> wmic share get name,path
جست و جو فایل های پسوند های مختلف و یا یک فایل:
C:\> dir /A /5 /T:A *,exe *,dll *,bat *·PS1 *,zip
C:\> dir /A /5 /T:A <BAD FILE NAME>,exe
جست و جو فایل های اجرایی (.exe) که از تاریخ Jan 1, 2017 به بعد هستند:
C:\> forfiles /p C:\ /M *,exe /5 /0 +1/1/2017 /C
"cmd /c echo @fdate @ftime @path"
جست و جو فایل های با پسوند های مختلف به صورت همیشگی:
C:\> for %G in (.exe, .dll, .bat, .ps) do forfiles -
p "C:" -m *%G -s -d +1/1/2017 -c "cmd /c echo @fdate
@ftime @path"
جست و جو فایل های بر اساس تاریخ:
C:\> forfiles /PC:\ /5 /0 +1/01/2017 /C "cmd /c
echo @path @fdate"
جست و جو فایل ها بر اساس اندازه: (برای مثال 20 مگابایت)
C:\> forfiles /5 /M * /C "cmd /c if @fsize GEO
2097152 echo @path @fsize"
جست و جو فایل های Alternate Data Streams:
منبع. https://technet.microsoft.com/en us/sysinternals/streams.aspx
C:\> streams -s <FILE OR DIRECTORY>
جست و جو فایل های دارای امضا مشکوک و ذخیره آن در csv:
منبع. https://technet.microsoft.com/en us/sysinternals/bb897441.aspx
C:\> sigcheck -c -h -s -u -nobanner <FILE OR
DIRECTORY> > <OUTPUT FILENAME>,csv
جست و جو و نمایش فایل های دارای امضا مشکوک در درایو C::
C:\> sigcheck -e -u -vr -s C:\
لیست Dll های unsigned که load شده اند:
منبع. https://technet.microsoft.com/en us/sysinternals/bb896656.aspx
C:\> listdlls.exe -u
C:\> listdlls.exe -u <PROCESS NAME OR PID>
اسکن Malware (با استفاده از Windows Defender) به صورت آفلاین:
منبع. http://windows.microsoft.com/en us/windows/what-is-windows-defender-offline
C:\> MpCmdRun.exe -SignatureUpdate
C:\> MpCmdRun.exe -Scan
LIVE TRIAGE - لینوکس
اطلاعات سیستم
# uname -a
# up time
# t imedatec t
# mount
اطلاعات کاربر
لیست کاربرانی که ورود کرده اند:
# w
لیست کاربرانی که از راه دور ورود کرده اند:
# lastl og
# last
نمایش ورود های ناموفق:
# fail o
g -a
نمایش کاربران محلی:
# cat /etc/passwd
# cat /etc/shadow
نمایش گروه های محلی:
# cat/etc/group
نمایش دسترسی sudo:
# cat /etc/sudoers
نمایش کاربران با UID 0:
# awk -F: '($3 == "0") {p rint}' /etc/passw
# egrep ':0+' /etc/passw
لیست کلید های احراز هویت معتبر ssh:
# cat /root/.ssh/authorized_keys
لیست فایل هایی که توسط کاربر باز شده است:
# lsof -u <USER NAME>
نمایش تاریخچه bash:
# cat /root/,bash_history
اطلاعات شبکه
نمایش interface های شبکه:
# ifconfig
نمایش ارتباطات شبکه:
# netstat -antup
# netstat -plantux
نمایش پورت های listening:
# netstat -nap
نمایش route ها:
# route
نمایش جدول arp:
# arp -a
نمایش لیست فرآیند ها و پورت های مورد استفاده:
# lsof -i
اطلاعات سرویس ها
لیست فرآیند ها:
# ps -aux
لیست ماژول های بارگذاری شده:
# lsmod
لیست فایل های باز شده:
# lsof
لیست فایل های باز شده تحت شبکه:
# lsof -nPi I cut -f 1 -d " "I uniq I tail -n +2
لیست فایل های باز شده توسط یک فرآیند خاص:
# lsof -c <SERVICE NAME>
لیست کلیه فایل های باز شده توسط یک فرآیند خاص:
# lsof -p <PID>
لیست کلید فرآیند های unlinked در حال اجرا:
# lsof +Ll
لیست فرآیند های یک PID:
#ls -al /proc/<PID>/exe
ذخیره سازی تحلیل های فایل های اجرایی malware ها:
# cp /proc/<PID>/exe >/<SUSPICIOUS FILE NAME TO
SAVE>,elf
نمایش گزارشات به صورت زنده:
# less +F /var/log/messages
لیست سرویس ها:
# chkconfig --list
اطلاعات POLICY, PATCH و تنظیمات
نمایش فایل های درون مسیر pam.d:
# cat /etc/pam.d/common*
اطلاعات AUTORUN و AUTOLOAD:
لیست cron job ها:
# crontab -l
لیست cron job ها که توسط کاربر root و UID صفر است:
# crontab -u root -l
بررسی cron job ها غیر معمول:
# cat /etc/crontab
# ls /etc/cron,*
گزارشات
بررسی تاریخچه دستور های اجرا شده کاربر root:
# cat /root/,*history
بررسی آخرین کاربر وارد شده به سیستم:
# last
اطلاعات فایل ها و درایور ها و محیط های اشتراکی
نمایش میزان استفاده از دیسک:
# df -ah
نمایش فایل های مسیر /etc/init.d:
#ls -la /etc/init.d
اطلاعات بیشتر درباره فایل:
# stat -x <FILE NAME>
تشخیص نوع فایل:
# file <FILE NAME>
نمایش فایل های immutable:
# lsatt r -R / I g rep \-i-"
لیست فایل های مسیر /root:
#ls -la /root
نمایش لیست آخرین فایل های ویرایش شده:
# ls -alt I head
لیست فایل های قابل نوشتن:
#find/ -xdev -type d\( -perm -0002 -a ! -perm -
1000 \) -print
لیست فایل هایی که به تازگی از تاریخ Jan 02, 2017 ایجاد شده اند:
#find/ -n ewermt 2017-01-02q
لیست کلیه فایل ها و ویژگی های آن:
#find/ -printf
%m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%U;%G;%s;%p\n"
لیست فایل های مسیری خاص که timestamp جدید تری دارند:(ممکن است دستکاری شود)
#ls -alt /<DIRECTORY>! head
نمایش جزییات فایل:
# stat /<FILE PATH>/<SUSPICIOUS FILE NAME>
بررسی نوع فایل:
# file /<FILE PATH>/<SUSPICIOUS FILE NAME>
بررسی sign فایل ها برای شناسایی rootkit ها:
Run unix-privsec-check tool:
# wget
https://raw.githubusercontent.com/pentestmonkey/unix
-privesc-check/l_x/unix-privesc-check
# ./unix-privesc-check > output.txt
اجرا chkrootkit:
# apt-get install chkrootkit
# chkrootkit
اجرا rkhunter:
# apt-get install rkhunter
# rkhunter --update
# rkhunter -check
اجرا tiger:
# apt-get install tiger
# tiger
#less /var/log/tiger/security.report,*
اجرا lynis:
# apt-get install lynis
# lynis audit system
# more /var/logs/lynis. log
اجرا Linux Malware Detect (LMD):
# wget http://www.rfxn.com/downloads/maldetect
current.tar.gz
# tar xfz maldetect-current.tar.gz
# cd maldetect-*
# ./install.sh
دریافت LMD updates:
# maldet -u
اجرا و اسکن LMD برروی مسیری خاص:
# maldet -a /<DIRECTORY>
بررسی و تحلیل USB
نمایش وقایع
usbrip events violations auth.json
بررسی و تحلیل git
نمایش تاریخچه
git log
نمایش محتویات commit
git checkout <commit> --force
بررسی و تحلیل MALWARE
بررسی و تحلیل STATIC ANALYSIS
ایجاد Mount live Sysinternals tools drive:
\\live.sysinternals.com\tools
بررسی Signature مربوط به فایل های dlt و exe :
منبع. http://technet.microsoft.com/en us/sysinternals/bb897441.aspx
C:\> sigcheck.exe -u -e (:\<DIRECTORY>
ارسال به VirusTotat:
C:\> sigcheck.exe -vt <SUSPICIOUS FILE NAME>
بررسی و تحلیل شل کدها
```text http://sandsprite.com/CodeStuff/scdbg_manual/MANUAL_EN.html
#### بررسی و تحلیل Windows PE:
#### نمایش Hex و ASCI فایل های PE{exe یا هر فایلی\), با سوییچ و 500 بایت اول -n:
```text
# hexdump -C -n 500 <SUSPICIOUS FILE NAME>
# od -x somefile.exe
# xxd somefile.exe
استفاده از ابزار debug در ویندوز {برای فایل های .java ):
C:\> debug <SUSPICIOUS FILE NAME>
> -d (just type d and get a page at a time of hex)
> -q (quit debugger)
بررسی و تحلیل Windows PE:
اسکریپت زمان و تاریخ کامپایل فایل های PE (فقط برای ویندوز).
منبع. https://www.perl.org/get.html
منبع. http://www.perlmonks.org/bare/?node_id=484287
C:\> perl.exe <SCRIPT NAME>.pl <SUSPICIOUS FILE
NAME>
#! perl -slw
use strict;
$1 . " •
open EXE, '<:raw', $ARGV[0] or die "$ARGV[0] : $!";
my $dos = do{ local$/ = \65536; <EXE>};
die "$ARGV[0] is not a .exe or .dll (sig='${ \substr
$dos, 0, 2 } ')" unless substr( $dos, 0, 2 ) eq 'MZ';
my $coffoff = 8+ unpack 'x60 V', $dos;
read( EXE, $dos, $coffoff - 65536 + 4, 65536 ) or
die$! if $coffoff > 65536;
my $ts = unpack "x$coffoff V", $dos;
print "$ARGV [0] : ", defined $ts
? ( scalar( localtime $ts) "has unfathomable
timestamp value $ts" )
: 'has no timestamp';
_END_
نمایش رشته های داخل PE و طول رشته ها با سوییچ -n:
استفاده از strings در لینوکس:
# strings -n 10 <SUSPICIOUS FILE NAME>
منبع. https://technet.microsoft.com/en us/sysinternals/strings.aspx
استفاده از strings در ویندوز:
C:\> strings <SUSPICIOUS FILE NAME>
شناسایی Malware در memory، dump شده با استفاده از Volatility و پروفایل Windows7SPFix64:
منبع, https://github.com/volatilityfoundation/volatility
# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 malfind -D /<OUTPUT DUMP DIRECTORY>
شناسایی Malware با PID در memory، dump شده با استفاده از Volatility:
# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 malfind -p <PID #> -D /<OUTPUT DUMP DIRECTORY>
لیست فرآیند ها با استفاده از Volatility:
# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 pslist
# python vol.py -f <MEMORY DUMP FILE NAME>,raw -−profile=Win7SPFix64 pstree
لیست dll ها با استفاده از Volatility:
# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 dlllist
# python vol.py -f <MEMORY DUMP FILE NAME>.raw --profile=Win7SPFix64 dlldump -D /<OUTPUT DUMP DIRECTORY>
#### خروجی از حافظه پروسه مشخص
volatility -f flounder-pc-memdump.elf --profile=<PROFILE> memdump -p <PID> -D dump
ابزار بررسی و شناسایی Malware:
منبع. https://github.com/Defense-Cyber-Crime Center/DC3-MWCP
نصب ابزار dc3-mwcp:
# setup.py install
استفاده از ابزار dc3-mwcp برای بررسی فایل های مشکوک:
# mwcp-tool.py -p <SUSPICIOUS FILE NAME>
شناسایی MALWARE
ابزار PROCESS EXPLORER
منبع. https://youtu.be/80vfTA9LrBM
مرحله 1: لیست فرآیند ها و بررسی موارد مشکوک :
- Items with no icon
- Items with no description or company name
- Unsigned Microsoft images (First add Verified Signer column under View tab->Select Columns, then go to Options tab and choose Verify Image Signatures)
- Check all running process hashes in Virus Total (Go to Options tab and select Check VirusTota l. com)
- Suspicious files are in Windows directories or user profile
- Purple items that are packed or compressed • Items with open TCP/IP endpoints
مرحله 2: بررسی Signature فایل ها :
( نمایش Sigcheck)
مرحله 3: بررسی Strings:
- Right click on suspicious process in Process Explorer and on pop up window choose Strings tab and review for suspicious URLs. Repeat for Image and Memory radio buttons.
- Look for strange URLs in strings
مرحله 4: نمایش DLL:
- Pop open with Ct rl+D
- Look for suspicious DLLs or services
- Look for no description or no company name
- Look at VirusTotal Results column
مرحله 5: توقف و حذف Malware:
- Right click and select Suspend for any identified suspicious processes
- Right click and select Terminate Previous Suspended processes
مرحله 6: حذف فایل های مشکوکی که در راه اندازی سیستم اجرا می شوند.
- Launch Autoruns
- Under Options, Check the boxes Verify Code Signatures and Hide Microsoft entries
- Look for suspicious process file from earlier steps on the everything tab and uncheck. Safer to uncheck than delete, in case of error.
- Press FS, to refresh Autoruns, and confirm malicious file has not recreated the malicious entry into the previous unchecked auto start location.
مرحله 7: نظارت بر فرآیند ها
منبع. https://technet.microsoft.com/en us/sysinternals/processmonitor.aspx
- If malicious activity is still persistent, run Process Monitor.
- Look for newly started process that start soon after terminated from previous steps.
مرحله 8: تکرار مراحل بالا برای شناسایی فایل های مشکوک.
بررسی هش فایل ها
با استفاده از HASH QUERY
استفاده از Api های VirusTotal:
Ref. https://www.virustotal.com/en/documentation/public api/ (Prerequisite: Need a VT API Key)
ارسال هش فایل های مشکوک به virustotal با استفاده از ابزار curl:
# curl -v --request POST --url
https://www.virustotal.com/vtapi/v2/file/report' -d
apikey=<VT API KEY> -d 'resource=<SUSPICIOUS FILE
HASH>'
ارسال فایل های مشکوک به virustotal با استفاده از ابزار curl:
# curl -v -F 'file=/<PATH TO FILE>/<SUSPICIOUS FILE
NAME>' -F apikey=<VT API KEY>
https://www.virustotal.com/vtapi/v2/file/scan
استفاده از API های Team Cymru:
منبع. https://hash.cymru.com, http://totalhash.com
نمایش هش های malware ها با استفاده از Team Cymru و ابزار whois: (Note: Output is timestamp of last seen and detection rate)
# whois -h hash,cymru.com <SUSPICIOUS FILE HASH>
HARD DRIVE و MEMORY ACQUISITION
ویندوز
ایحاد memory، dump شده از راه دور:
منبع. http://kromer.pl/malware-analysis/memory forensics-using-volatility-toolkit-to-extract malware-samples-from-memory-dump/
منبع. http://sourceforge.net/projects/mdd/
منبع. https://technet.microsoft.com/en us/sysinternals/psexec.aspx
C: \> psexec. exe \\<HOST NAME OR IP ADDRESS> -u
<DOMAIN>\<PRIVILEGED ACCOUNT> -p <PASSWORD> -c
mdd_l,3.exe --o C:\memory.dmp
منبع. https://github.com/volatilityfoundation/volatility
استخراج فایل های exe و dll از memory، dump شده:
C:\> volatility dlldump -f memory.dmp -0 dumps/
C:\> volatility procmemdump -f memory.dmp -0 dumps/
منبع. https://sourceforge.net/projects/dc3dd/files/dc3dd/7 .2%20-%20Windows/
C:\> dc3dd,exe if=\\,\c: of=d:\<ATTACHED OR TARGET
DRIVE>\<IMAGE NAME>,dd hash=md5 log=d:\<MOUNTED
LOCATION>\<LOG NAME>, log
لینوکس
ایجاد memory dump:
dd if=/dev/fmem of=/tmp/<MEMORY FILE NAME>.dd
ایجاد memory dump با استفاده از ابزار LiME:
منبع. https://github.com/504ensicslabs/lime
# wget
https://github.com/504ensicslabs/LiME/archive/master
.zip
unzip master.zip
# cd LiME-master/src
# make
# cp lime-*,ko /media/=/media/ExternalUSBDriveName/
# insmod lime-3.13.0-79-generic.ko
"path=/media/Exte rna lUSBDriveName/<MEMORY DUMP>, lime
format= raw"
ایجاد کپی از فرآیند مشکوک با استفاده از process ID:
# cp /proc/<SUSPICIOUS PROCESS ID>/exe /<NEW SAVED
LOCATION>
اطلاعات بیشتر درباره فرآیند مشکوک در memory، dump شده:
# gcore <PIO>
استفاده از Strings بر روی فایل:
# strings gcore.*
ایجاد یک کپی از hard drive و partition شامل tog و hash ها:
# dd if=<INPUT DEVICE> of=<IMAGE FILE NAME>
# dc3dd if=/dev/<TARGET DRIVE EXAMPLE SDA OR SDAl>
of=/dev/<MOUNTED LOCATION>\<FILE NAME>.img hash=md5
log=/<MOUNTED LOCATION>/<LOG NAME>.log
ایجاد hard drive و partition بر روی SSH:
# dd if=/dev/<INPUT DEVICE> I ssh <USER
NAME>@<DESTINATION IP ADDRESS> "dd of=<DESTINATION
PATH>"
ارسال hard drive image، zip شده بر روی netcat:
ارسال به میزبان:
# bzip2 -c /dev/<INPUT DEVICE> I nc <DESTINATION IP
ADDRESS> <PICK A PORT>
دریافت توسط میزبان:
# nc -p <PICK SAME PORT> -l lbzip2 -d I dd
of=/dev/sdb
ارسال به میزبان host:
# dd if=/dev/<INPUT DEVICE> bs=16M I nc <PORT>
دریافت توسط میزبان با استفاده از Pipe Viewer meter:
# nc -p <SAME PORT> -l -vv I pv -r I dd
of=/dev/<INPUT DEVICE> bs=16M
وبسایت های رمزنگاری
https://www.dcode.fr/
https://gchq.github.io/CyberChef/
https://crackstation.net/
بررسی داده های مخفی در فایل با StegCracker
https://github.com/Paradoxis/StegCracker
For example: stegcracker image.jpg
بررسی داده های مخفی در عکس با اسکریپت بش StegExtract
sudo curl https://raw.githubusercontent.com/evyatarmeged/stegextract/master/stegextract > /usr/local/bin/stegextract
sudo chmod +x /usr/local/bin/stegextract
For example: stegextract simple.gif --analysis --string
بررسی داده های مخفی در عکس با StegSolve
wget http://www.caesum.com/handbook/Stegsolve.jar -O stegsolve.jar
chmod +x stegsolve.jar
java -jar stegsolve.jar
بررسی داده های مخفی در فایل با exiftool
sudo apt-get install libimage-exiftool-perl
For example: exiftool poissonrecon.pdf
بررسی داده های مخفی در موسیقی با Sonic Visualizer
https://www.sonicvisualiser.org/download.html
For example: Pane->Add Spectrogram->Channel 1
بررسی داده های مخفی در موسیقی با spek
apt-get install spek