تقديم Malboxes: أداة لبناء البرمجيات الخبيثة

تحليل البرامج الضارة هو مثل نزع فتيل القنابل. الهدف هو تفكيك وفهم برنامج تم تصميمه لإلحاق الضرر أو التجسس على مستخدمي الكمبيوتر (عفوًا ، هذا هو المكان الذي يفشل فيه قياسات القنابل ، لكن أحدها يحصل على هذه النقطة). غالبًا ما يكون هذا البرنامج غامضًا (أي: معبأة) لجعل التحليل أكثر تعقيدًا وأحيانًا خطيرًا. تقدم مشاركة المدونة هذه أداة قمنا بإنشائها تعمل على إنشاء الأجهزة الظاهرية (VMs) من Windows دون أي تدخل من المستخدم. يتم تهيئة أجهزة VM هذه مسبقًا بأدوات تحليل البرامج الضارة وإعدادات الأمان المصممة لتحليل البرامج الضارة. سنقوم بعد ذلك باستكشاف كيفية استخدام الأداة ومعماريتها والمكان الذي نريد أن نأخذها فيه.

TL، DR

نعلن عن الإصدار الأول "الرسمي" للصناديق الخبيثة ، وهي أداة تهدف إلى المساعدة في إنشاء أجهزة Windows آمنة ومفيدة لتحليل البرامج الضارة. يمكن الوصول إلى أي شخص حتى يستخدم إصدارات تجريبية من Windows إذا لم يكن لديك ترخيص خاص به.

قطع الأحمر أو السلك الأزرق؟

عند إجراء تحليل البرامج الضارة يجب على المرء أن يكون حذرا لتجنب اصابة احد آلة أو التسبب في الباب فخ داخل البرمجيات الخبيثة. يمكن أن تختلف العواقب من تسرب المعلومات الداخلية أو المنتجات أو التراخيص ، إلى تحديد عناوين IP الخاصة بالمؤسسة على طول الطريق إلى مسح الكمبيوتر المصاب . هذا هو السبب في ضرورة إجراء تحليل للبرامج الضارة في الأجهزة المادية أو الظاهرية المعزولة.

يستغرق تكوين مثل هذا الجهاز الظاهري بعض الوقت ، وعندما يقوم شخص ما ببناء واحد ، فإنه يميل إلى إضافة أدوات إليه ، وتحديثه والالتزام به. ثم يتم استخدام نسخ ولصق صور القرص واللقطات عادةً قبل بدء تحليل جديد. تم تخصيص فصل كامل في الكتاب المرجعي حول تحليل البرامج الضارة - التحليل العملي للبرامج الضارة - لموضوع إعداد جهاز افتراضي بطريقة آمنة. سيكون أتمتة وتسريع هذه العملية التطور الطبيعي لهذه الممارسة.

الاستفادة من DevOps Ecosystem

قبل بضع سنوات ، استناداً إلى تجربة ناجحة باستخدام Vagrant لإدارة بيئات التطوير ، قررنا النظر في خيارات إدارة الأجهزة الظاهرية لـ Windows. لسوء الحظ ، في الوقت الذي لم يكن Vagrant مدعومًا أصلاً بضيوف Windows ولذلك انتقلنا. قبل عام ، قمنا بإعادة تقييم الاحتمالية واتضح أنه أصبح ممكنا الآن بفضل مايكروسوفت ونظامها البيئي المتطور DevOps.

ومع ذلك ، هناك مشكلة واحدة تواجه Vagrant و Packer مباشرة هي أن التكوين الخاص بـ Windows المطلوب غير واضح. بدلاً من إنشاء ملفات التهيئة المعقدة الخاصة بنا واستدعاء باكر أو فاجرانت مباشرة ، قررنا عمل طبقة تجريد تركز على الأشخاص المهتمين بتحليل البرمجيات الخبيثة ، وبالتالي يتم إنشاء صناديق بريدية .

تقديم Malboxes

لا يوجد شيء مثل العرض التوضيحي لفهم مقدار العمل الذي تم حفظه باستخدام هذه الأداة: 

ما يمكن ملاحظته هنا هو أنه من خلال استخدام أمرين بسيطين ( buildو spin) صناديق بريد مبنية على قالب جهاز افتراضي لـ Windows 10 Enterprise Evaluation (VM) ، ثم إطلاق نسخة منه مع المجلد الحالي المشترك على سطح المكتب الخاص بـ VM.

يتم تثبيت الأدوات التالية كجزء من عملية الإنشاء:

• windbg
• جناح sysinternal كله
• العابث
• Wireshark مع npcap (Windows 10 متوافق مع استبدال winpcap)
• IDA Pro debuggers عن بعد (إذا تم تثبيت IDA Pro على المضيف)

يتم إجراء التغييرات التالية على نظام التشغيل الضيف (Guest):

• تعطيل التحديثات التلقائية
• تعطيل برنامج Windows Defender

قد يستغرق تنفيذ ذلك كله يدويًا نصف يوم ولكن مع وجود صناديق فرعية ، فإن الأمر يستغرق دقائق.

الحصول على الأيدي القذرة

وبمجرد تثبيتها ، يتم استخدام الأداة في سطر الأوامر.

لسرد الملفات الشخصية المدعومة:

1 2 3 4 5 6

$ malboxes list supported profiles:   win10_32_analyst win10_64_analyst win7_32_analyst

لإنشاء جهاز تحليل Windows 10 64-bit:

1	malboxes build win10_64_analyst

بمجرد الانتهاء من هذه العملية ، يتم استيراد صندوق المتشرد. من هناك ، يمكن إعادة استخدام مربع القاعدة هذا بقدر ما يلزم لمهام التحليل الفردية. على سبيل المثال ، دعنا نقول أحدًا يحلل عينة من Sirefef. انها مجرد مسألة توليد التكوين المتشرد الصحيح في اشارة الى هذا المربع الأساسي. يوفر malboxes التفاف مناسب لإنشاء المناسبة Vagrantfile:

1 2 3 4 5 6 7 8

$ mkdir Win32.Sirefef.EV/ $ cd Win32.Sirefef.EV/   $ malboxes spin win10_64_analyst Win32.Sirefef.EV Creating a Vagrantfile Vagrantfile generated. You can move it in your analysis directory and issue a `vagrant up` to get started with your VM.   $ vagrant up

تحليل VM جاهز الآن!

بنية صناديق البريد

باختصار ، تختفي العلب المختلطة معًا:

• تكوين باكر
• تكوين التثبيت غير المراقب لـ Windows
• وصفات PowerShell لتعطيل ميزات الأمان (Defender ، التحديثات التلقائية ، جدار الحماية ، إلخ.)
• وهناك مجموعة من أدوات تحليل البرامج الضارة ركزت تثبيت باستخدام حزمة مدير ويندوز تشوكولاتيي
• A Vagrantfile مولد بحيث يمكن إدارة نظام رصد السفن مع المتشرد

مثال تكوين الصلاحيات

وتشمل فوائد هذه البنية الاستفادة من حزم الشوكولاتة. هذا يعني أنه بإمكان أي شخص تثبيت أي شيء متوفر فيمعرض مجموعة الشيكولاتة الواسع بأمر واحد. يمكن تعديل قائمة الحزم الافتراضية المثبتة في ملف تهيئة صناديق البريد. بالإضافة إلى ذلك ، التعبئة والتغليف للشوكولاتة هو واضح ، لذلك هناك تأثير شبكة ضخمة حول chocolatey في الوقت الحالي والتي نستفيد منها.

فائدة أخرى هي أن كل من صناديق البريد ، وبكر ، والمتشرد ونصوص PowerShell كلها تبقى خارج الضيف. لا يوجد وكيل ضيف مخصص على جهاز VM ولدينا خطط لمزيد من الدعم التلقائي للحجب ودعم hypervisor .

تم بناء صناديق البريد في Python 3 وتدعم أنظمة التشغيل المضيفة التالية:

• شبابيك
• ماك
• لينكس

المستقبل

سنغطي حالات استخدام أكثر في مشاركات المدونات القادمة ، وهي:

• تحليل سير عمل فريق العمل حيث يتم تبادل التحقيق بين المحللين
• طرق لتخصيص جهاز VM تلقائيًا لاستخدامه باعتباره جهاز VM لـ honeypot لتهديد معين

ندعو أي شخص مهتم بالمساهمة ولكن لا يعرف من أين يبدأ البحث في ملف TODO ، الموجود في المستودع. الأفكار والقضايا هي أيضا موضع ترحيب ، بطبيعة الحال.

نعتقد أن عدد الأشخاص الذين يعملون في أمن تكنولوجيا المعلومات أكثر من مؤلفي البرامج الضارة. ومع ذلك ، لا يزال تحليل البرامج الضارة يعتبر فنًا محميًا للقلة الماهرة. ومن خلال أداتنا ، نأمل في الوصول إلى تحليل البرمجيات الخبيثة بسهولة أكبر من خلال توفير سهولة في الإنشاء ، بما في ذلك البطاريات والأجهزة الافتراضية. باستخدام هذه الأداة وغيرها من الأدوات الأخرى مثل Cuckoo sandbox ، سيكون بإمكان المزيد من محترفي أمن تكنولوجيا المعلومات أو الطلاب المتلهفين للتعلم النظر في الملفات الثنائية المشبوهة وفحصها يدويًا وأمان.