Wednesday, November 14th, 2018

Переплетчики и вредоносное программное обеспечение (Часть 3)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Во второй части этой статьи мы остановились на том, что настроили и связали наше вредоносное программное обеспечение (malware) с помощью переплетчика под названием YAB. Теперь мы попробуем запустить наше связанное вредоносное программное обеспечение. Наша задача заключается в том, чтобы узнать, как выглядит и как ведет себя это программное обеспечение, после того, как его выполнит ничего не подозревающий пользователь. Если вы помните, мы использовали реальную иконку для игры Pong.exe для нашего вредоносного программного обеспечения, чтобы все выглядело еще более правдоподобно.

Мы будет отслеживать реальное поведение самого вредоносного программного обеспечения с помощью нескольких инструментов, о которых я рассказывал ранее. А именно, мы будем использовать Regmon и Filemon. С помощью этих двух программ, работающих в фоновом режиме при запуске вредоносного программного обеспечения, мы сможем увидеть, что оно делает, и убедиться в том, что наше связанное вредоносное программное обеспечение работает так, как ожидалось. Если вы еще не установили эти программы на своем компьютере, то, пожалуйста, сделайте это сейчас. После этого запустите их и отключите все запущенные фоновые процессы. Это позволит нам отследить только новые процессы, которые будут запущены после запуска вредоносного программного обеспечения.

Как оно выглядит?

Теперь, как упоминалось выше, давайте посмотрим, как выглядит это вредоносное программное обеспечение (malware) с точки зрения пользователя. Поэтому, давайте его запустим. В рамках этой статьи мы предположим, что вредоносное программное обеспечение попало на компьютер пользователя незамеченным. Посмотрите на рисунок ниже, чтобы увидеть, что произошло после того, как я выполнил программу Pong.exe, к которой привязан троянский сервер Optix Pro trojan server .

Как выглядит программное обеспечение?

Рисунок 1

Итак, как мы и надеялись, установка программы Pong.exe с привязанной к ней вредоносной программой прошло без заминок или каких-либо предупреждений для пользователя. Однако, что же происходит в фоновом режиме? Об этом мы узнаем от инструментов Regmon и Filemon, которые мы запустили в фоновом режиме перед тем, как запустить вредоносную программу (malware). Посмотрите, что увидел Regmon, на рисунке.

Как выглядит программное обеспечение?

Рисунок 2

Я выделил ту часть результатов, полученных от Regmon, которая отображает процесс установки “optix_pro_server” на компьютер. Это то, что я назвал Optix Pro server. Дальше — лучше. Давайте теперь посмотрим на том, что увидел Filemon во время установки и выполнения вредоносного программного обеспечения (malware).

Вредоносное программное обеспечение статья

Рисунок 3

Мы видим, что Filemon также заметил, что “optix_pro_server” установил сам себя и сделал некоторые изменения в файловой системе. Filemon также заметил, что программа Pong.exe ( я называю ее Pong_malware.exe, т.к. с ней связан троянский сервер), установила сама себя и сделала некоторые изменения в файловой системе. Великолепно! Инструменты Regmon и Filemon отлично выполнили свою работу и обнаружили установку программ, а также изменения, которые они сделали в реестре и файловой системе. Однако, как насчет нашего троянского сервера Optix Pro trojan server? Успешно ли он установился? Давайте посмотрим на рисунок ниже.

Вредоносное программное обеспечение

Рисунок 4

Мы видим, что в самом верху есть файл под названием “msiexec16”, размер которого составляет 809 KB. Это в действительности и есть наш троянский сервер Optix Pro trojan server. Это файл “msiexec16” – название по умолчанию, которое будет иметь троянский сервер Optix Pro trojan server до тех пор, пока вы его не измените при настройке. Дальше — лучше. А теперь самый важный вопрос, в действительности ли он работает на компьютере? Давайте посмотрим на рисунок ниже.

Вредоносное программное обеспечение

Рисунок 5

В программе под названием ActivePorts (этот инструмент позволяет контролировать все активные сокеты TCP и UDP socket на вашем компьютере, а также отслеживать, какая программа на вашем жестком диске отрыла их), что “msiexec16.exe” с PID равным 672 в самом деле работает. Ура! Мы только что убедились, что мы успешно настроили, связали и запустили замаскированное вредоносное программное обеспечение. Именно так злоумышленники делают это. Хотя установка может выглядеть вполне невинной, в фоновом режиме может происходить установка опасного вредоносного программного обеспечения. Хочу также заметить, что троянский сервер Optix Pro trojan server может также запоминать клавиши, которые нажимал пользователь. То же самое может произойти при работе с банковским счетом. Совсем не плохо. С помощью этого вредоносного программного обеспечения ваш банковский счет может очень быстро опустеть.

Краткий обзор

  • Мы использовали троянский сервер Optix Pro trojan server в качестве нашего вредоносного программного обеспечения (malware)
  • Затем мы загрузили игру Pong.exe, которая использовалась в качестве прикрытия
  • Затем мы использовали YAB, чтобы связать их вместе

С помощью этого примера очень легко понять многие концепции компьютерной безопасности на высоком уровне. Благодаря воссозданию определенных ситуаций, аналогичных этой, мы можем гораздо лучше понять проблему. Вы можете использовать эти новые знания для обнаружения опасностей для своих пользователей. Именно поэтому очень важно не только понять, но также и выполнять те же самые трюки, которыми владеют ваши противники. Умея атаковать, вы сможете лучше понять, как обороняться.

Под кожей

Мы закончили рассказ о том, как вы можете сделать демонстрацию для своих конечных корпоративных пользователей относительно опасности вредоносного программного обеспечения (malware). Теперь для нас, специалистов по компьютерной безопасности, пришло время поднять наши знания на следующий уровень. Далее мы расскажем о том, как выглядит в действительности это вредоносное программное обеспечение (malware). Мы сможем узнать, как безопасно его рассмотреть, не запуская, и как распознать некоторые характеристики исполняемых файлов Microsoft Windows на битовом уровне. Вредоносное программное обеспечение все же удовлетворяет определенным критериям. В нашем случае, оно соответствует формату исполняемых файлов Portable Executable (PE).

В последней части этой статьи мы рассмотрим битовый уровень нашего вредоносного программного обеспечения и обычной программы с помощью шестнадцатиричного редактора (hex editor). Затем мы будем использовать полученные знания для обнаружения вредоносного программного обеспечения, не запуская его. Мы также рассмотрим упаковку UPX packing, которую может использовать троянский сервер Optix Pro trojan server. После этого мы используем ту же самую программу UPX для распаковки запакованного троянского сервера. Подводя итоги, мы используем другую программу для выгрузки запущенного процесса троянского сервера. Нам предстоит узнать очень много информации, но это очень важно сделать. Существует масса замечательных инструментов, которые можно использовать для анализа вредоносного программного обеспечения, и о некоторых из них мы расскажем в нашей статье. После всего этого вы будете по-другому смотреть на вредоносное программное обеспечение. Быть системным администратором достаточно сложно, но чтобы повысить ваш уровень знаний, вы также должны больше знать и о компьютерной безопасности.

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]