درسنا في الفصول السابقة مرحلة Basic Static Analysis ومرحلة Basic Dynamic Analysis ونقدر نستخدم اللي درسناه في كتابة Report بس يكون ل Malware بسيط مش Advanced
الMalware Report هيتكون من:
اول حاجة Basic Static Analysis وهنكتب فيه ال Sample Identification زي:
-File Name, Type, Size
-File Hashes
-Antivirus identifiers
تاني حاجة Basic Dynamic/Behavioral Analysis
بعد كدة هنكتب ال Advanced Static Analysis و ال Advanced Dynamic Analysis
بعدهم هنحط الSupporting Figures زي Logs, Strings, Functions, Screenshots .. الخ
بعد كدة بيبقى عندنا صورة كاملة عن الmalware ووقتها ممكن نكتب
-Infection capabilities: قدراته
-Self preservation capacity:
يعني هيفضل موجود لو عملنا restart للويندوز ولا متقدم اكتر وهيفضل موجود حتى لو عملنا format للهارد وهكذا..
-Spreading Mechanics:
طرق إنتشاره يعني عن طريق usb او network او emails او غيره..
-Data Leakage Abilities:
هل يقدر يعمل تسريب للبيانات او لا، ولو بيعمل فبيسرق بيانات من أماكن ايه وهكذا..
-Remote Attacker Interactions:
كيفية تواصله مع الAttacker..
واخيراً بنكتب الSummary ودي بتبقى الخلاصة بحيث لو حد معندوش وقت وعايز يعرف هو بيعمل ايه بدون تضييع وقت وهنكتب فيها:
-key observation:
الملاحظات الاساسية
-Recommendations:
ودي بتقدم فيها توصيات زي تحديث البرامج والنظام بشكل مستمر، وعدم فتح ملفات او ايميلات او مواقع مشبوهة ..الخ
-Report date and authors:
التاريخ و الناس اللي شاركو في كتابة الReport.
-------------------------------
CH5:v2:Extract Sample's Identification
الفيديو دا هيشتغل فيه على sample ويطلع منها الIdentification زي:
-File Type
ممكن نستخدم Hex Editor زي HxD هنلاقي الملف اوله MZ Header و فيه PE Header بعده يبقى دا PE File إما exe او dll ودا نقدر نعرفه بأدوات CFF Explorer أو PEstudio
لو فيه Formats تانية غريبة ممكن نستعمل اداة TrID لتحديد نوع الملف
-File Hashes
هنا ممكن نستخدم اداة PeStudio عشان نعرف الHashes بتاعت الملف زي Sha1 و Sha256 و MD5
ملاحظة: ممكن نستخدم VirusTotal عشان نعرف الIdentifications اللي محتاجينها ومن ضمنها الHash طبعا
-File Name
من خلال VirusTotal نقدر نعرف الNames الموجودة عنده للSample دي
وبردو في خطوة Basic Dynamic Analysis لما نستخدم sandbox هنعرف الfile names اللي اتمسحت او تم تعديلها وغيره فلازم نكتب كل دا في الreport
-File History
بردو من خلال VirusTotal موجود الHistory زي الCreation Time وLast Analysis وغيرهم
-File Version info
موجودة على VirusTotal وبيبقى فيها الDescription و الFile Version والCompany Name والComments..الخ، وممكن بright-click على الsample واختيار properties بعدين details هنلاقي بردو معلومات عن الfile version
-Debugger time stamp
هو والCompiler time stamp نقدر نعرفهم بأداة PE Studio
كل المعلومات اللي فاتت نقدر نستعمل PeStudio او VirusTotal عشان نشوفهم بالتفصيل، بعد كدة ننسخهم ونضيفهم للReport بتاعنا.
لو حجم الSample كبير ممكن Pestudio يعمل crash ويهنج فمش هنعتمد عليه في الStrings والImports وهنستخدم ادوات تانية.
-Packers
هنستخدم اداة زي Exeinfo PE او Detect it Easy مثلا عشان نعرف هو packed ولالا وايه نوع الPacker كمان
-Strings
هنستخدم اداة bintext ونطلع منها الstrings ولو فيه IoCs زي ip او domain او email معين مثلا فنسجلهم.
-------------------------------
CH5:v3:Extract IoCs of malware sample
اول خطوة في الDynamic Analysis هي الSandbox
ممكن نستخدم موقع Cape sandbox هنلاقي الSample موجودة عليه ومتعرف على الMutex الخاص بيها ودا بيبقى حاجة مميزة المفروض نحطها في الIoCs في الreport
الIoCs بتتكون من Host-based Indicators و Network Indicators
جزء Host-based بنكتب فيه:
-Hashes
-File Names
-Registry Keys
-Mutex
جزء Network indicators هنكتب فيه:
-Domains
-IPs
المفروض لحد هنا غطينا ال4 محاور الرئيسية في مرحلة Basic Dynamic Analysis وهم:
Filesystem Activity
Process Activity
Network Activity
Registry Activity
جزء الRecommendations:
-من خلال الfiles اللي اتعملت او اتعدلت هننصح الuser انه يمسحهم وهكذا مع الregistry keys والtask scheduler و الstartup services لو موجودة
-وممكن نشوف الCommands اللي اتنفذت لو هو عامل process او معدّل حاجة معينة في ملف او في السيستم فننصح الuser انه يقفل الprocess او يمسح اللي اتعمل سواء كان attributes او file..الخ
----------------------------------
Next Steps:
ودا فيه لينكات ل pdfs, website, articles وحجات كتير هتفيدنا في المجال وهتلاقيهم في ملف الPDF الموجود في الكورس وتقدر تحمله من اللينك دا (اضغط هنا)