Enterprise Malware Management - Kryminalistyka Informatyczna
Dzial kryminalistyki informatycznej W departamentach IT bardzo czesto zajmuje sie badaniem i obsluga incydentów, które powstaja z powodu niedbalstwa lub przeoczenia administratorów, a nastepnie prowadza do ataków takich jak drive-by-downloads czy APT, w skutek niewiedzy uzytkownika koncowego. Celem zarzadzania incydentami bezpieczenstwa informacji jest zapewnienie ciaglosci dzialania systemu, a caly proces sklada sie z 6 etapów.
- Planowanie i przygotowanie
- Identyfikacja
- Powstrzymywanie
- Likwidowanie
- Odzyskiwanie
- Kontrola
Indicator of Compromise (Wskaznik kompromisu)
Informacje o zagrozeniach istnieja od wielu lat, ale dopiero od niedawna sa uzywane przez srodowisko bezpieczenstwa w sposób bardziej strukturalny i konsekwentny. Organizacje odchodza juz od tradycyjnego sposobu obslugi incydentu bezpieczenstwa typu czekanie na powiadomienie o incydencie i odpowiedz na niego. Nowatorskie podejscie zaleca do podjecia aktywnych dzialan do zwalczania malware w celu zabezpieczenia calej infrastruktury informatycznej i w tej nowej strategii IOC odgrywa kluczowa role. Gdy ktos skompromituje system, pozostawia slady po sobie, które moga byc wykorzystane do identyfikacji zagrozen lub hakera.
OpenIOC jest to open source framework, który zostal opracowany przez firme Mandiant w celu udostepnienia informacji o zagrozeniach. Moze byc stosowany w celu poprawy niezawodnosci i powtarzalnosci procesu dochodzenia poprzez wprowadzenie standardu dokumentacji, który moze zostac uzyty w raporcie dochodzenia. Jako ze raport jest zapisany w formacie XML moze zostac wykorzystany w przeprowadzeniu kontroli czyli etapie 6 (tabela1). Inne rodzje podobnych projektów to stworzony przez IETF Working Group, który definiuje dwa standardy. Pierwszy opisuje obserwacje incydentów bezpieczenstwa w IODEF (Incident Object Description Exchange Format) opisany w RFC570. Drugi jest to Real-Time Inter Network Defence (RID) opisany w RFC6545, który jest uzyty do wymiany IODEF informacji. Kolejnymi projektami sa CyboX, STIX i TAXII firmy Mitre.
Mandiant Redline – analiza pamieci
Narzędzie Redline firmy Mandiant pozwala na analizę pamięci operacyjnej, potencjalnie zainfekowanego systemu operacyjnego Windows, w celu znalezienia śladów działania złośliwego oprogramowania. Redline pozwala na:
- Zbieranie informacji o procesach, danych z rejestru oraz zrzutów pamięci.
- Przeglądanie zaimportowanych danych.
- Identyfikacje procesów, które są podejrzane i warte poddania próbie analizy opartej o Malware Risk Index (MRI).
- Wykonania analizy Indicators of Compromise (IOC).
- Używania whitelist w celu odfiltrowania false/positive w oparciu o hasze MD5.
Instalacja Redline
Redline jest zgodny z systemami operacyjnymi:
- Windows 8 (32-bit and 64-bit versions)
- Windows 7 (32-bit and 64-bit versions)
- Microsoft Vista (32-bit version)
- Windows XP SP2 (32-bit version)
- Windows Server 2008 R2 (64-bit version)
- Windows Server 2003 SP2 (32-bit and 64-bit versions)
- Windows Server 2000 SP4 (32-bit version)
Redline wymaga minimum Microsoft.NET 4, jeżeli nie jest zainstalowany przekieruje na stronę Microsoft. Nie zaleca sie instalowania Redline na komputerze, który jest zainfekowany złośliwym oprogramowaniem, ponieważ nie mamy pewności ze rezultat analizy jest w 100% prawidłowy. Istnieje ryzyko, ze podczas instalacji potencjalne dane zostaną wymazane z pamięci czy dysku. W przypadku, gdy atakujący posiada dostęp do naszego komputera może bardzo szybko zorientować sie ze rozpoczynamy dochodzenie. Instalacja Redline powinna zostać przeprowadzona na komputerze, który jest bezpieczny, nie istnieją na nim zagrożenia malware, oraz w sieci, która jest odseparowana, ale zazwyczaj komputer taki jest odłączony od sieci. Redline można pobrać ze strony http://www.mandiant.com/freeware
Wybór kolektora
W celu zgromadzenia danych z zainfekowanego komputera Redline używa kolektorów. Istnieją trzy rodzaje kolektorów:
- Standard Collector - konfiguruje skrypty, które gromadzą minimalna ilość danych potrzebnych do analizy i wygenerowania MRI.
- Comprehensive Collector - może zostać użyty w celu zgromadzenia wszystkich informacji potrzebnych do pełnej analizy.
- IOC Search Collector - gromadzi dane, które pokryją się z wybranymi wskaźnikami kompromisu IOC.
Wszystkie trzy kolektory maja możliwość zrobienia zrzutu pamięci. Opcja ta jest wymagana w celu pozyskania danych o procesach i sterownikach do analizy.
Uruchomienie kolektora na zainfekowanym komputerze
Kolektory mogą zostać uruchomione na:
- Windows 8 (32-bit and 64-bit)(beta support only)
- Windows 2012 Server (32-bit and 64-bit)(beta support only)
- Windows 7 SP1 (32-bit and 64-bit)
- Windows XP SP2 or higher (32-bit)
- Microsoft Vista SP1 or SP2 (32-bit)
- Windows Server 2008 R2 (64-bit)
- Windows Server 2003 R2 SP2 (32-bit and 64-bit)
- Windows Server and Professional 2000 SP4 (32-bit)
Następnie kopiuje cały folder na USB i uruchamiam skrypt RunRedlineAuditor.bat na zainfekowanym komputerze. Skrypt wykonuje po kolei zdefiniowane wcześniej opcje do zbierania danych, a zebrane dane zapisuje w stworzonym katalogu o nazwie komputera w moim przypadku jest to folder XP. Cała procedura zbierania informacji zajęła ok godziny i zależy od szybkości komputera.
Analiza
W celu zaimportowania danych z zainfekowanego komputera należy stworzyć nowa sesje. W tym celu klikamy w Analyze Data i następnie From Collector. Podajemy ścieżkę do danych, które zgromadziliśmy na USB. Opcjonalnie możemy zaznaczyć Indicators of Compromise (IOC) w celu porównania danych z IOC i późniejszym stworzeniu raportu IOC. W tym momencie nie będę zaznaczał tej opcji i wrócę do niej później.
Następnie wskazujemy gdzie chcemy zapisać sesję, po czym dane są importowane i tworzona jest sesja analizy.
Klikamy Next, wpisujemy nazwę sesji analizy, następnie ładowane są wszystkie dane i tworzona jest sesja analizy.
Po zakończeniu wgrywania danych mamy do wyboru kilka rodzajów analizy:
- I am reviewing a Triage collection from MSO.
- I am investigating a Host Based on an External Investigative Lead.
- I am reviewing a Full Live Response or Memory Image.
- I am reviewing Web History Data.
- I want to search my data with a set of Indicators of Compromise.
Następnie
przed przystąpieniem do analizy importuję IOC. W tym celu klikam w przycisk
Redline w lewym górnym rogu i wchodzę w Session
Information.
Następnie w Memory Image Location szukamy pliku zrzutu pamięci, który nazywa
się w32memory-aquisition.xxx. Zazwyczaj
jest to największy plik i zależy od rozmiaru pamięci RAM zainfekowanego
komputera. Jest to bardzo przydatna opcja, ponieważ w tym momencie zrzucamy
zawartość pamięci RAM do pliku, który następnie można użyć przy analizie
statycznej. Zatwierdzamy OK.
Następnie klikamy ponownie w przycisk Redline
i tym razem wchodzimy w Options i Whitelist Management, wskazujemy na plik
m-whitelist-1.0.txt i klikamy Add to Whitelist.
Zaczynamy
analizę, więc w Start Your Investigation
wybieramy I am Reviewing a Full Live
Response or Memory Image. W tym momencie możemy
zastosować różne filtry żeby przeprowadzić pełną analizę. Redline automatycznie
grupuje dane w grupy np procesy, pliki systemowe czy rejestr, dzięki czemu mamy
bardzo łatwy dostęp do wszystkich danych oraz możliwość znalezienia obszarów
kompromitacji. W zakładce Processes znalazłem proces cltmng.exe, który posiada wynik 93 MRI (Malware Risk Index). Im
wyższy wynik MRI, tym większa możliwość, że proces został skompromitowany.
Podwójnie klikając na procesie zobaczyć można
informacje na jego temat, a w zakładce MRI Report powód dlaczego rezultat jest
taki wysoki.
Ostatnim krokiem jest stworzenie raportu IOC,
więc klikam w Create a New IOC Report,
wskazuję na katalog Appendix G (Digital) – IOCs i po prawej stronie ładuje się
lista wskaźników z którymi zostanie porównana moja sesja analizy.
Tworzenie raportu trwało w moim przypadku ok
30 minut. Raport zawiera szczegółowe informacje o wszystkich wykrytych wskaźnikach
kompromisu. W moim przypadku zostały wykryte BISCUIT i BANGAT w systemie.
Dodatkowe informacje na temat malware można
uzyskać klikając w niebieskie kółko z literą i.
Narzędzie Redline jest bardzo łatwe w obsłudze
i pozwala każdemu przeprowadzić analizę pamięci na potencjalnie zainfekowanym
komputerze i dodatkowo używając IOC sprawdzić czy czasem nie zostaliśmy
skompromitowani. Narzędzia do analizy malware stają się coraz bardziej
powszechne i łatwe w obsłudze a ich automatyzacja pozwala tworzyć raporty,
które można używać w celu dokumentowania incydentów bezpieczeństwa. Dodatkowo
na stronie www.openioc.org można znaleźć
IOC dla malware typu Zeus, Stuxnet, Duqu i innych, a następnie zaimportować do
Redline i zeskanować system.
Brak komentarzy:
Prześlij komentarz