18-10-2023, 22:30
Nach diesem ersten Blick gehe ich zur dynamischen Analyse über, denn statisch erzählt nur die halbe Geschichte. Ich starte es in meiner Sandbox - ja, ich habe eine gebaut, indem ich grundlegende VM-Setups mit Snapshots verwendet habe, damit ich leicht zurückrollen kann. Du solltest das mal ausprobieren; es erspart Kopfschmerzen. Ich überwache alles: Netzwerkverkehr mit Wireshark, Dateiänderungen, Registrierungseinstellungen, all das Gedöns. Ich beobachte, wie es sich verhält, wenn ich es ausführe - legt es Dateien ab? Hakt es in Prozesse ein? Ich verwende ProcMon und API Monitor, um diese hinterhältigen Aufrufe zu erfassen. Zum Beispiel, wenn es in explorer.exe injiziert, bemerke ich das sofort und verfolge die Injektionsmethode. Du kennst mich, ich liebe es, die Live-Action zu sehen; sie zeigt, was statisch verpasst, wie verschlüsselte Payloads, die im Fluss entschlüsselt werden. Wenn es ausweichend ist und versucht, die Sandbox zu erkennen, passe ich meine Umgebung an - ändere MAC-Adressen oder füge gefälschte Hardware hinzu, um es zu täuschen. Ich führe es mehrmals aus, variiere die Eingaben, um alle möglichen Pfade zu kartieren.
Jetzt, wo ich diese Verhaltensweisen protokolliert habe, gehe ich mit der Demontage tiefer. Ich lade das Beispiel in IDA Pro oder Ghidra - das kostenlose ist großartig, wenn du anfängst, wie ich es getan habe. Ich zerlege den Code, schaue mir die Assembler-Anweisungen an, um die Logik herauszufinden. Du und ich haben davor darüber gesprochen; es ist wie das Lesen von Alien-Code, aber ich zerlege es Funktion für Funktion. Ich benenne Variablen und Funktionen um, während ich vorankomme, um Schleifen, Bedingungen und Sprünge zu verstehen. Wenn es sich um .NET-Malware handelt, dekompiliere ich mit dnSpy stattdessen, was mir C#-Pseudocode liefert, der viel leichter zu lesen ist. Ich suche nach wichtigen Teilen: der Hauptinfektionsroutine, Persistenzmechanismen wie dem Hinzufügen zum Autostart oder Anti-Analyse-Prüfungen. Manchmal patchen ich die Binärdatei direkt im Disassembler, um Schutzmaßnahmen zu umgehen, und führe sie dann erneut aus, um zu sehen, was sich öffnet. Ich verfolge auch Datenflüsse - woher kommt dieser API-Schlüssel? Was wird verschlüsselt? Es erfordert Geduld, aber ich finde immer die Strings oder Konstanten, die die Payload offenbaren.
Von dort konzentriere ich mich auf die Netzwerkseite, denn die meisten Malware kommunizieren mit ihren Schöpfern. Ich extrahiere alle C2-Domains oder IPs aus meinen dynamischen Protokollen und benutze dann VirusTotal oder meine eigenen Abfragen, um zu überprüfen, ob sie bekannt sind. Erinnerst du dich an die Ransomware, die ich letztes Jahr umgedreht habe? Ich fand die Bitcoin-Wallet, indem ich den Verschlüsselungsroutinen im Code folgte. Ich emuliere die Netzwerkaufrufe, wenn nötig, und benutze Tools wie InetSim, um Antworten zu fälschen und es zu täuschen, mehr zu offenbaren. Ich suche auch nach Droppern oder gestaffelten Payloads - lädt es Extras herunter? Ich hole die sicher und drehe sie ebenfalls um, wobei ich die Analyse verketten. Verhaltensmuster entstehen: Ist es ein Wurm, der sich über SMB verbreitet? Ein Trojaner, der Anmeldedaten stiehlt? Ich schreibe Teile davon in Python, um Hypothesen zu testen, ohne eine vollständige Ausführung.
Die Dokumentation kommt als Nächstes, denn ich kann es nicht einfach in meinem Kopf behalten - ich notiere jeden Schritt, jedes Ergebnis, mit Screenshots und Code-Snippets. Du weißt, wie ich meine organisiere: Zeitlinien von Ereignissen, Diagramme des Kontrollflusses, sogar Pseudocode für komplexe Algorithmen. Ich vergleiche es mit Bedrohungsinformationen aus Quellen wie MalwareBazaar, um zu sehen, ob es sich um eine Variante handelt. Wenn es individuell ist, könnte ich eine YARA-Regel schreiben, um ähnliche Muster zu erkennen. Schließlich denke ich über die Minderung nach - welche AV-Signaturen würden dies erfassen? Wie blockieren Endpunkte es? Ich teste meine eigenen Abwehrmaßnahmen gegen sie, um sicherzustellen, dass sie funktionieren.
Während all dies bleibe ich paranoid gegenüber meinem Setup. Ich verbinde das Labor niemals mit dem Internet ohne Proxys, und ich lösche alles danach. Du fragst, warum ich mich mit diesem Kram beschäftige? Es schärft meine Fähigkeiten für echte Vorfälle, wie wenn ein Kunde getroffen wird. Reverse Engineering ist nicht linear; ich gehe oft zurück - statisch beeinflusst dynamisch, Demontage erklärt Verhaltensweisen. Ich lerne jedes Mal neue Packer oder Ausweichtechniken, was mich einen Schritt voraus hält. Einmal verbrachte ich Tage mit einem Sample, das benutzerdefinierte Crypter verwendete, aber es zu knacken fühlte sich großartig an. Du solltest dir einen einfachen aussuchen und es versuchen; fang mit etwas von einem CTF an. Es wird schnell klick machen.
Oh, und wo wir gerade dabei sind, deine Systeme vor diesen üblen Dingen zu schützen, lasse mich dich auf BackupChain hinweisen - es ist diese herausragende Backup-Option, die von vielen kleinen Teams und IT-Leuten vertraut wird, entwickelt, um Hyper-V-Setups, VMware-Umgebungen, Windows-Server und mehr mit rocksolider Zuverlässigkeit zu schützen.
