Analiza Malware dla każdego #3 - Analiza pamięci za pomocą programu Redline firmy Mandiant

Enterprise Malware Management - Kryminalistyka Informatyczna

Dzial kryminalistyki informatycznej W departamentach IT bardzo czesto zajmuje sie badaniem i obsluga incydentów, które powstaja z powodu niedbalstwa lub przeoczenia administratorów, a nastepnie prowadza do ataków takich jak drive-by-downloads czy APT, w skutek niewiedzy uzytkownika koncowego. Celem zarzadzania incydentami bezpieczenstwa informacji jest zapewnienie ciaglosci dzialania systemu, a caly proces sklada sie z 6 etapów.

1. Planowanie i przygotowanie
2. Identyfikacja
3. Powstrzymywanie
4. Likwidowanie
5. Odzyskiwanie
6. Kontrola

Dzialania kryminalistyki informatycznej polega na etapie numer 6, czyli na przeprowadzeniu kontroli, która jest jedną z najbardziej istotnych czynnosci podczas procedury odpowiedzi na incydent. Celem kontroli po incydencie jest przeprowadzenie czynnosci zwiazanych z oskarzeniem i osądzeniem osób, które zlamaly prawo. Bardzo czesto powoduje to koniecznosc przejrzenia polityk organizacji w celu zwiekszenia jej restrykcyjnosci lub jej calkowitej zmiany. Etap ten ma równiez na celu przeprowadzenie oceny ryzyka i analizy zmian, które nalezy koniecznie wprowadzic do wszelkich szkolen i technologii. W przypadku wykrycia nowego rodzaju malware, kryminalistyka informatyczna moze takze brac udzial w etapie 3,4,5.

Indicator of Compromise (Wskaznik kompromisu)

Informacje o zagrozeniach istnieja od wielu lat, ale  dopiero od niedawna sa uzywane przez srodowisko bezpieczenstwa w sposób bardziej strukturalny i konsekwentny. Organizacje odchodza juz od tradycyjnego sposobu obslugi incydentu bezpieczenstwa typu czekanie na powiadomienie o incydencie i odpowiedz na niego. Nowatorskie podejscie zaleca do podjecia aktywnych dzialan do zwalczania malware w celu zabezpieczenia calej infrastruktury informatycznej i w tej nowej strategii IOC odgrywa kluczowa role. Gdy ktos skompromituje system, pozostawia slady po sobie, które moga byc wykorzystane do identyfikacji zagrozen lub hakera.

OpenIOC jest to open source framework, który zostal opracowany przez firme Mandiant w celu udostepnienia informacji o zagrozeniach. Moze byc stosowany w celu poprawy niezawodnosci i powtarzalnosci procesu dochodzenia poprzez wprowadzenie standardu dokumentacji, który moze zostac uzyty w raporcie dochodzenia. Jako ze raport jest zapisany w formacie XML moze zostac wykorzystany w przeprowadzeniu kontroli czyli etapie 6 (tabela1). Inne rodzje podobnych projektów to stworzony przez  IETF Working Group, który definiuje dwa standardy. Pierwszy opisuje obserwacje incydentów bezpieczenstwa w IODEF (Incident Object Description Exchange Format) opisany w RFC570. Drugi jest to Real-Time Inter Network Defence (RID) opisany w RFC6545, który jest uzyty do wymiany IODEF informacji. Kolejnymi projektami sa CyboX, STIX i TAXII firmy Mitre.

Mandiant Redline – analiza pamieci

Narzędzie Redline firmy Mandiant pozwala na analizę pamięci operacyjnej, potencjalnie zainfekowanego systemu operacyjnego Windows, w celu znalezienia śladów działania złośliwego oprogramowania. Redline pozwala na:

• Zbieranie informacji o procesach, danych z rejestru oraz zrzutów pamięci.
• Przeglądanie zaimportowanych danych.
• Identyfikacje procesów, które są podejrzane i warte poddania próbie analizy opartej o Malware Risk Index (MRI).
• Wykonania analizy Indicators of Compromise (IOC).
• Używania whitelist w celu odfiltrowania false/positive w oparciu o hasze MD5.

Instalacja Redline

Redline jest zgodny z systemami operacyjnymi:

• Windows 8 (32-bit and 64-bit versions)
• Windows 7 (32-bit and 64-bit versions)
• Microsoft Vista (32-bit version)
• Windows XP SP2 (32-bit version)
• Windows Server 2008 R2 (64-bit version)
• Windows Server 2003 SP2 (32-bit and 64-bit versions)
• Windows Server 2000 SP4 (32-bit version)

Redline wymaga minimum Microsoft.NET 4, jeżeli nie jest zainstalowany przekieruje na stronę Microsoft. Nie zaleca sie instalowania Redline na komputerze, który jest zainfekowany złośliwym oprogramowaniem, ponieważ nie mamy pewności ze rezultat analizy jest w 100% prawidłowy. Istnieje ryzyko, ze podczas instalacji potencjalne dane zostaną wymazane z pamięci czy dysku. W przypadku, gdy atakujący posiada dostęp do naszego komputera może bardzo szybko zorientować sie ze rozpoczynamy dochodzenie. Instalacja Redline powinna zostać przeprowadzona na komputerze, który jest bezpieczny, nie istnieją na nim zagrożenia malware, oraz w sieci, która jest odseparowana, ale zazwyczaj komputer taki jest odłączony od sieci. Redline można pobrać ze strony http://www.mandiant.com/freeware

Wybór kolektora

W celu zgromadzenia danych z zainfekowanego komputera Redline używa kolektorów. Istnieją trzy rodzaje kolektorów:

• Standard Collector - konfiguruje skrypty, które gromadzą minimalna ilość danych potrzebnych do analizy i wygenerowania MRI.
• Comprehensive Collector - może zostać użyty w celu zgromadzenia wszystkich informacji potrzebnych do pełnej analizy.
• IOC Search Collector - gromadzi dane, które pokryją się z wybranymi wskaźnikami kompromisu IOC.

Wszystkie trzy kolektory maja możliwość zrobienia zrzutu pamięci. Opcja ta jest wymagana w celu pozyskania danych o procesach i sterownikach do analizy.

Uruchomienie kolektora na zainfekowanym komputerze

Kolektory mogą zostać uruchomione na:

• Windows 8 (32-bit and 64-bit)(beta support only)
• Windows 2012 Server (32-bit and 64-bit)(beta support only)
• Windows 7 SP1 (32-bit and 64-bit)
• Windows XP SP2 or higher (32-bit)
• Microsoft Vista SP1 or SP2 (32-bit)
• Windows Server 2008 R2 (64-bit)
• Windows Server 2003 R2 SP2 (32-bit and 64-bit)
• Windows Server and Professional 2000 SP4 (32-bit)

Ja uruchomię Comprehensive, Collector ponieważ chce zrobić pełną analizę. Dodatkowo zaznaczam opcje, Acuire Memory Image w celu przeprowadzenia analizy pamięci i sterowników. Pozostałe opcje pozostawiam bez zmian i wskazuje folder docelowy.

Następnie kopiuje cały folder na USB i uruchamiam skrypt RunRedlineAuditor.bat na zainfekowanym komputerze. Skrypt wykonuje po kolei zdefiniowane wcześniej opcje do zbierania danych, a zebrane dane zapisuje w stworzonym katalogu o nazwie komputera w moim przypadku jest to folder XP. Cała procedura zbierania informacji zajęła ok godziny i zależy od szybkości komputera.

Analiza

W celu zaimportowania danych z zainfekowanego komputera należy stworzyć nowa sesje. W tym celu klikamy w Analyze Data i następnie From Collector. Podajemy ścieżkę do danych, które zgromadziliśmy na USB. Opcjonalnie możemy zaznaczyć Indicators of Compromise (IOC) w celu porównania danych z IOC i późniejszym stworzeniu raportu IOC. W tym momencie nie będę zaznaczał tej opcji i wrócę do niej później.

Następnie wskazujemy gdzie chcemy zapisać sesję, po czym dane są importowane i tworzona jest sesja analizy.

Klikamy Next, wpisujemy nazwę sesji analizy, następnie ładowane są wszystkie dane i tworzona jest sesja analizy.

Po zakończeniu wgrywania danych mamy do wyboru kilka rodzajów analizy:

• I am reviewing a Triage collection from MSO.
• I am investigating a Host Based on an External Investigative Lead.
• I am reviewing a Full Live Response or Memory Image.
• I am reviewing Web History Data.
• I want to search my data with a set of Indicators of Compromise.

Następnie przed przystąpieniem do analizy importuję IOC. W tym celu klikam w przycisk Redline w lewym górnym rogu i wchodzę w Session Information.

Następnie w Memory Image Location szukamy pliku zrzutu pamięci, który nazywa się w32memory-aquisition.xxx. Zazwyczaj jest to największy plik i zależy od rozmiaru pamięci RAM zainfekowanego komputera. Jest to bardzo przydatna opcja, ponieważ w tym momencie zrzucamy zawartość pamięci RAM do pliku, który następnie można użyć przy analizie statycznej. Zatwierdzamy OK.

Następnie klikamy ponownie w przycisk Redline i tym razem wchodzimy w Options i Whitelist Management, wskazujemy na plik m-whitelist-1.0.txt i klikamy Add to Whitelist.

Zaczynamy analizę, więc w Start Your Investigation wybieramy I am Reviewing a Full Live Response or Memory Image. W tym momencie możemy zastosować różne filtry żeby przeprowadzić pełną analizę. Redline automatycznie grupuje dane w grupy np procesy, pliki systemowe czy rejestr, dzięki czemu mamy bardzo łatwy dostęp do wszystkich danych oraz możliwość znalezienia obszarów kompromitacji. W zakładce Processes znalazłem proces cltmng.exe, który posiada wynik 93 MRI (Malware Risk Index). Im wyższy wynik MRI, tym większa możliwość, że proces został skompromitowany.

Podwójnie klikając na procesie zobaczyć można informacje na jego temat, a w zakładce MRI Report powód dlaczego rezultat jest taki wysoki.

Ostatnim krokiem jest stworzenie raportu IOC, więc klikam w Create a New IOC Report, wskazuję na katalog Appendix G (Digital) – IOCs i po prawej stronie ładuje się lista wskaźników z którymi zostanie porównana moja sesja analizy.

Tworzenie raportu trwało w moim przypadku ok 30 minut. Raport zawiera szczegółowe informacje o wszystkich wykrytych wskaźnikach kompromisu. W moim przypadku zostały wykryte BISCUIT i BANGAT w systemie.

Dodatkowe informacje na temat malware można uzyskać klikając w niebieskie kółko z literą i.

Narzędzie Redline jest bardzo łatwe w obsłudze i pozwala każdemu przeprowadzić analizę pamięci na potencjalnie zainfekowanym komputerze i dodatkowo używając IOC sprawdzić czy czasem nie zostaliśmy skompromitowani. Narzędzia do analizy malware stają się coraz bardziej powszechne i łatwe w obsłudze a ich automatyzacja pozwala tworzyć raporty, które można używać w celu dokumentowania incydentów bezpieczeństwa. Dodatkowo na stronie www.openioc.org można znaleźć IOC dla malware typu Zeus, Stuxnet, Duqu i innych, a następnie zaimportować do Redline i zeskanować system.