Limon - Sandbox untuk Menganalisis Linux malwares
Oleh
chmood
Limon adalah sandbox dikembangkan sebagai proyek penelitian yang ditulis dalam python, yang secara otomatis mengumpulkan, menganalisis, dan melaporkan pada indikator waktu menjalankan malware Linux. Hal ini memungkinkan seseorang untuk memeriksa malware Linux sebelum eksekusi, selama eksekusi, dan setelah eksekusi (analisis post-mortem) dengan melakukan statis, analisis dinamis dan memori menggunakan alat open source. Limon menganalisa malware dalam lingkungan yang terkendali, memonitor kegiatan dan proses anak untuk menentukan sifat dan tujuan dari malware. Hal ini menentukan aktivitas proses malware, interaksi dengan sistem file, jaringan, itu juga melakukan analisis memori dan menyimpan artefak dianalisis untuk analisis nanti.
Menganalisis Linux malwares Menggunakan Limon
http://malware-unplugged.blogspot.com/2015/11/limon-sandbox-for-analyzing-linux.html
Menyiapkan dan Konfigurasi Limon
http://malware-unplugged.blogspot.com/2015/11/setting-up-limon-sandbox-for-analyzing.html
Black Hat 2015 Video Recording Eropa (Analisis Mengotomasi Linux Malware Menggunakan Limon Sandbox)
https://youtu.be/fSCKyF--tRs
Black Hat 2015 Eropa presentasi (Analisa Malware Mengotomasi Linux Menggunakan Limon Sandbox)
https://www.blackhat.com/eu-15/briefings.html#automating-linux-malware-analysis-using-limon-sandbox
Mengapa Analisis Malware?
Malware adalah software yang menyebabkan kerusakan pada sistem komputer tanpa izin pemilik. Virus, Trojan, worm, backdoors, rootkit dan spyware semua dapat dianggap sebagai malware.
Dengan serangan malware baru membuat berita setiap hari dan mengorbankan jaringan dan kritis infrastruktur perusahaan di seluruh dunia, analisis malware sangat penting bagi siapa saja yang merespon insiden tersebut.
analisis malware adalah proses memahami perilaku dan karakteristik malware, bagaimana mendeteksi dan menghilangkannya.
Ada banyak alasan mengapa kita ingin menganalisis malware, di bawah untuk nama hanya beberapa:
Menentukan sifat dan tujuan dari malware yaitu apakah malware tersebut merupakan informasi mencuri malware, http bot, spam bot, rootkit, keylogger, RAT dll
Interaksi dengan Sistem Operasi yaitu untuk memahami sistem file, proses dan jaringan kegiatan.
Mendeteksi pola diidentifikasi (jaringan dan host indikator berdasarkan) untuk menyembuhkan dan mencegah infeksi di masa depan
Jenis Analisis Malware
Untuk memahami karakteristik dari malware tiga jenis analisis dapat dilakukan mereka adalah:
Dalam kebanyakan kasus analisis statis dan dinamis akan menghasilkan hasil yang cukup namun analisis Memory memberikan perspektif post-mortem dan membantu dalam menentukan artefak tersembunyi, rootkit dan siluman kemampuan malware.
Analisis statis
Analisis statis melibatkan menganalisis malware tanpa benar-benar dijalankan. Berikut ini adalah langkah-langkahnya:
Menentukan Jenis File: menentukan jenis file juga dapat membantu Anda memahami jenis lingkungan malware ditargetkan terhadap, misalnya jika jenis file ELF (Executable dan Format Linkable) Format yang merupakan format file biner standar untuk Unix dan Unix sistem -seperti, maka dapat disimpulkan bahwa malware ditargetkan terhadap sistem Unix atau Unix rasa
Menentukan Hash Kriptografi: nilai-nilai Hash Kriptografi seperti MD5 dan SHA1 dapat berfungsi sebagai identifikasi unik untuk file sepanjang perjalanan analisis. Malware, setelah melaksanakan dapat menyalin dirinya ke lokasi yang berbeda atau drop sepotong malware, hash kriptografi dapat membantu Anda menentukan apakah baru disalin / sampel turun adalah sama dengan sampel asli atau berbeda. Dengan informasi ini kita dapat menentukan apakah analisis malware perlu dilakukan pada sampel tunggal atau beberapa sampel. Hash kriptografi juga dapat disampaikan ke scanner antivirus online seperti VirusTotal untuk menentukan apakah itu telah terdeteksi sebelumnya oleh salah satu vendor AV. Hash kriptografi juga dapat digunakan untuk mencari sampel malware tertentu di internet.
String pencarian: string polos teks ASCII dan UNICODE karakter tertanam dalam file. String pencarian memberikan petunjuk tentang fungsi dan perintah yang berhubungan dengan file berbahaya. Meskipun string tidak memberikan gambaran lengkap dari fungsi dan kemampuan dari sebuah file, mereka dapat menghasilkan informasi seperti nama file, URL, nama domain, alamat ip, perintah serangan dll
Berkas (pengepakan, cryptors) deteksi kebingungan: penulis Malware sering menggunakan software seperti pengepakan dan cryptors untuk mengaburkan isi dari file dalam rangka untuk menghindari deteksi dari software anti-virus dan sistem deteksi intrustion. Teknik ini memperlambat analis malware dari reverse engineering kode.
Tentukan Hash Fuzzy: Membandingkan sampel malware yang dikumpulkan atau dipertahankan dalam repositori pribadi atau publik merupakan bagian penting dari proses identifikasi berkas. Cara termudah untuk memeriksa berkas kesamaan adalah melalui proses yang disebut "Fuzzy Hashing". Fuzzy perbandingan hash dapat memberitahu persentase kesamaan antara file. Fuzzy perbandingan hash adalah metode yang file identik dapat diidentifikasi. Hal ini dapat membantu dalam menentukan varian malware yang sama.
Submission untuk Antivirus layanan pemindaian secara online: ini akan membantu Anda menentukan apakah tanda tangan kode berbahaya ada untuk tersangka berkas. Nama signature untuk file tertentu menyediakan cara yang sangat baik untuk mendapatkan informasi tambahan tentang file dan kemampuan. Dengan mengunjungi situs web penjual antivirus masing-masing atau mencari tanda tangan di mesin pencari dapat menghasilkan rincian tambahan tentang tersangka berkas. Informasi tersebut dapat membantu dalam penyelidikan lebih lanjut dan mengurangi waktu analisis spesimen malware. VirusTotal (http://www.virustotal.com) adalah populer layanan malware scanning berbasis web.
Memeriksa Dependensi File: beban Executable beberapa shared library dan memanggil fungsi-fungsi api untuk melakukan tindakan tertentu seperti menyelesaikan nama domain, membangun koneksi http dll Penentuan jenis perpustakaan dan daftar panggilan api diimpor oleh dieksekusi bersama dapat memberikan gambaran mengenai fungsionalitas dari malware.
Memeriksa Struktur File ELF: ELF singkatan dari "Executable dan Format Linkable" ini adalah format file biner standar untuk sistem Linux. Memeriksa struktur file ELF dapat menghasilkan kekayaan informasi termasuk Bagian, Simbol dan informasi file metadata lainnya.
Pembongkaran File: Pemeriksa program tersangka dalam disassembler memungkinkan penyidik untuk mengeksplorasi instruksi yang akan dijalankan oleh malware. Pembongkaran dapat membantu dalam melacak jalur yang tidak biasanya ditentukan selama analisis dinamis.
Analisis dinamis
Analisis dinamis melibatkan mengeksekusi sampel malware dalam lingkungan yang terkendali dan pemantauan seperti berjalan. Kadang-kadang analisis statis tidak akan mengungkapkan banyak informasi karena kebingungan, kemasan dalam kasus seperti analisis dinamis adalah cara terbaik untuk mengidentifikasi fungsi malware. Berikut ini adalah beberapa langkah yang terlibat dalam analisis dinamis:
Pemantauan Kegiatan Proses: ini melibatkan mengeksekusi program berbahaya dan memeriksa sifat dari proses yang dihasilkan dan proses lain yang berjalan pada sistem yang terinfeksi. Teknik ini dapat mengungkapkan informasi tentang proses seperti nama proses, proses id, proses anak dibuat, jalan sistem program dieksekusi, modul dimuat oleh program tersangka.
Pemantauan File System Activity: ini melibatkan memeriksa aktivitas real time sistem file sementara malware sedang berjalan; teknik ini mengungkapkan informasi tentang file yang dibuka, baru dibuat file dan file dihapus sebagai akibat dari pelaksanaan sampel malware.
Pemantauan Kegiatan Jaringan: Selain memantau aktivitas pada sistem host yang terinfeksi, memantau lalu lintas jaringan ke dan dari sistem selama menjalankan sampel malware juga penting. Ini membantu untuk mengidentifikasi kemampuan jaringan spesimen dan juga akan memungkinkan kita untuk menentukan indikator berbasis jaringan yang kemudian dapat digunakan untuk membuat tanda tangan pada perangkat keamanan seperti Intrusion Detection System
System Call Tracing: panggilan sistem yang dibuat oleh malware dapat memberikan wawasan ke dalam sifat dan tujuan dari program dieksekusi seperti file, jaringan dan akses memori. Pemantauan sistem panggilan dapat membantu menentukan interaksi malware dengan sistem operasi.
Analisis memori
Analisis memori juga disebut sebagai memori Forensik adalah analisis gambar memori diambil dari komputer yang menjalankan. Menganalisis memori setelah mengeksekusi sampel malware memberikan perspektif post-mortem dan membantu dalam penggalian forensik artefak dari memori komputer seperti:
http://malware-unplugged.blogspot.com/2015/11/setting-up-limon-sandbox-for-analyzing.html
Black Hat 2015 Video Recording Eropa (Analisis Mengotomasi Linux Malware Menggunakan Limon Sandbox)
https://youtu.be/fSCKyF--tRs
Black Hat 2015 Eropa presentasi (Analisa Malware Mengotomasi Linux Menggunakan Limon Sandbox)
https://www.blackhat.com/eu-15/briefings.html#automating-linux-malware-analysis-using-limon-sandbox
Mengapa Analisis Malware?
Malware adalah software yang menyebabkan kerusakan pada sistem komputer tanpa izin pemilik. Virus, Trojan, worm, backdoors, rootkit dan spyware semua dapat dianggap sebagai malware.
Dengan serangan malware baru membuat berita setiap hari dan mengorbankan jaringan dan kritis infrastruktur perusahaan di seluruh dunia, analisis malware sangat penting bagi siapa saja yang merespon insiden tersebut.
analisis malware adalah proses memahami perilaku dan karakteristik malware, bagaimana mendeteksi dan menghilangkannya.
Ada banyak alasan mengapa kita ingin menganalisis malware, di bawah untuk nama hanya beberapa:
Menentukan sifat dan tujuan dari malware yaitu apakah malware tersebut merupakan informasi mencuri malware, http bot, spam bot, rootkit, keylogger, RAT dll
Interaksi dengan Sistem Operasi yaitu untuk memahami sistem file, proses dan jaringan kegiatan.
Mendeteksi pola diidentifikasi (jaringan dan host indikator berdasarkan) untuk menyembuhkan dan mencegah infeksi di masa depan
Jenis Analisis Malware
Untuk memahami karakteristik dari malware tiga jenis analisis dapat dilakukan mereka adalah:
Analisis statis
Analisis dinamis
Analisis memori
Dalam kebanyakan kasus analisis statis dan dinamis akan menghasilkan hasil yang cukup namun analisis Memory memberikan perspektif post-mortem dan membantu dalam menentukan artefak tersembunyi, rootkit dan siluman kemampuan malware.
Analisis statis
Analisis statis melibatkan menganalisis malware tanpa benar-benar dijalankan. Berikut ini adalah langkah-langkahnya:
Menentukan Jenis File: menentukan jenis file juga dapat membantu Anda memahami jenis lingkungan malware ditargetkan terhadap, misalnya jika jenis file ELF (Executable dan Format Linkable) Format yang merupakan format file biner standar untuk Unix dan Unix sistem -seperti, maka dapat disimpulkan bahwa malware ditargetkan terhadap sistem Unix atau Unix rasa
Menentukan Hash Kriptografi: nilai-nilai Hash Kriptografi seperti MD5 dan SHA1 dapat berfungsi sebagai identifikasi unik untuk file sepanjang perjalanan analisis. Malware, setelah melaksanakan dapat menyalin dirinya ke lokasi yang berbeda atau drop sepotong malware, hash kriptografi dapat membantu Anda menentukan apakah baru disalin / sampel turun adalah sama dengan sampel asli atau berbeda. Dengan informasi ini kita dapat menentukan apakah analisis malware perlu dilakukan pada sampel tunggal atau beberapa sampel. Hash kriptografi juga dapat disampaikan ke scanner antivirus online seperti VirusTotal untuk menentukan apakah itu telah terdeteksi sebelumnya oleh salah satu vendor AV. Hash kriptografi juga dapat digunakan untuk mencari sampel malware tertentu di internet.
String pencarian: string polos teks ASCII dan UNICODE karakter tertanam dalam file. String pencarian memberikan petunjuk tentang fungsi dan perintah yang berhubungan dengan file berbahaya. Meskipun string tidak memberikan gambaran lengkap dari fungsi dan kemampuan dari sebuah file, mereka dapat menghasilkan informasi seperti nama file, URL, nama domain, alamat ip, perintah serangan dll
Berkas (pengepakan, cryptors) deteksi kebingungan: penulis Malware sering menggunakan software seperti pengepakan dan cryptors untuk mengaburkan isi dari file dalam rangka untuk menghindari deteksi dari software anti-virus dan sistem deteksi intrustion. Teknik ini memperlambat analis malware dari reverse engineering kode.
Tentukan Hash Fuzzy: Membandingkan sampel malware yang dikumpulkan atau dipertahankan dalam repositori pribadi atau publik merupakan bagian penting dari proses identifikasi berkas. Cara termudah untuk memeriksa berkas kesamaan adalah melalui proses yang disebut "Fuzzy Hashing". Fuzzy perbandingan hash dapat memberitahu persentase kesamaan antara file. Fuzzy perbandingan hash adalah metode yang file identik dapat diidentifikasi. Hal ini dapat membantu dalam menentukan varian malware yang sama.
Submission untuk Antivirus layanan pemindaian secara online: ini akan membantu Anda menentukan apakah tanda tangan kode berbahaya ada untuk tersangka berkas. Nama signature untuk file tertentu menyediakan cara yang sangat baik untuk mendapatkan informasi tambahan tentang file dan kemampuan. Dengan mengunjungi situs web penjual antivirus masing-masing atau mencari tanda tangan di mesin pencari dapat menghasilkan rincian tambahan tentang tersangka berkas. Informasi tersebut dapat membantu dalam penyelidikan lebih lanjut dan mengurangi waktu analisis spesimen malware. VirusTotal (http://www.virustotal.com) adalah populer layanan malware scanning berbasis web.
Memeriksa Dependensi File: beban Executable beberapa shared library dan memanggil fungsi-fungsi api untuk melakukan tindakan tertentu seperti menyelesaikan nama domain, membangun koneksi http dll Penentuan jenis perpustakaan dan daftar panggilan api diimpor oleh dieksekusi bersama dapat memberikan gambaran mengenai fungsionalitas dari malware.
Memeriksa Struktur File ELF: ELF singkatan dari "Executable dan Format Linkable" ini adalah format file biner standar untuk sistem Linux. Memeriksa struktur file ELF dapat menghasilkan kekayaan informasi termasuk Bagian, Simbol dan informasi file metadata lainnya.
Pembongkaran File: Pemeriksa program tersangka dalam disassembler memungkinkan penyidik untuk mengeksplorasi instruksi yang akan dijalankan oleh malware. Pembongkaran dapat membantu dalam melacak jalur yang tidak biasanya ditentukan selama analisis dinamis.
Analisis dinamis
Analisis dinamis melibatkan mengeksekusi sampel malware dalam lingkungan yang terkendali dan pemantauan seperti berjalan. Kadang-kadang analisis statis tidak akan mengungkapkan banyak informasi karena kebingungan, kemasan dalam kasus seperti analisis dinamis adalah cara terbaik untuk mengidentifikasi fungsi malware. Berikut ini adalah beberapa langkah yang terlibat dalam analisis dinamis:
Pemantauan Kegiatan Proses: ini melibatkan mengeksekusi program berbahaya dan memeriksa sifat dari proses yang dihasilkan dan proses lain yang berjalan pada sistem yang terinfeksi. Teknik ini dapat mengungkapkan informasi tentang proses seperti nama proses, proses id, proses anak dibuat, jalan sistem program dieksekusi, modul dimuat oleh program tersangka.
Pemantauan File System Activity: ini melibatkan memeriksa aktivitas real time sistem file sementara malware sedang berjalan; teknik ini mengungkapkan informasi tentang file yang dibuka, baru dibuat file dan file dihapus sebagai akibat dari pelaksanaan sampel malware.
Pemantauan Kegiatan Jaringan: Selain memantau aktivitas pada sistem host yang terinfeksi, memantau lalu lintas jaringan ke dan dari sistem selama menjalankan sampel malware juga penting. Ini membantu untuk mengidentifikasi kemampuan jaringan spesimen dan juga akan memungkinkan kita untuk menentukan indikator berbasis jaringan yang kemudian dapat digunakan untuk membuat tanda tangan pada perangkat keamanan seperti Intrusion Detection System
System Call Tracing: panggilan sistem yang dibuat oleh malware dapat memberikan wawasan ke dalam sifat dan tujuan dari program dieksekusi seperti file, jaringan dan akses memori. Pemantauan sistem panggilan dapat membantu menentukan interaksi malware dengan sistem operasi.
Analisis memori
Analisis memori juga disebut sebagai memori Forensik adalah analisis gambar memori diambil dari komputer yang menjalankan. Menganalisis memori setelah mengeksekusi sampel malware memberikan perspektif post-mortem dan membantu dalam penggalian forensik artefak dari memori komputer seperti:
proses yang berjalan
koneksi jaringan
shared library
modul kernel dimuat
suntikan kode
kemampuan rootkit.
API Hooking
Category
Komentar