Перед тим як досліджувати кіберзагрози, кожному кіберфахівцю необхідно підготувати спеціальне середовище (пісочниця), де він зможе їх проаналізувати, не наражаючи на небезпеку свій комп’ютер. Для цього можна використовувати сторонні рішення або створити пісочницю самостійно.
Чому це так важливо?
Пісочниця допомагає виявити кіберзагрози та безпечно їх проаналізувати. В такому випадку вся інформація залишається в безпеці, а підозрілі файли не можуть отримати доступ до системи. А спеціалісти мають змогу відстежити всі шкідливі процеси, визначати їх закономірності та дослідити модель поведінки зловмисного ПЗ.
Перш ніж налаштувати пісочницю необхідно мати чітке уявлення, про те, чого саме необхідно досягти за її допомогою.
Як це зробити?
Розглянемо всі кроки, необхідні для налаштування простого середовища для дослідження зловмисного програмного забезпечення:
1. Встановити віртуальну машину
Запуск шкідливого програмного забезпечення має відбуватися в належним чином ізольованому середовищі, щоб уникнути зараження операційної системи хоста. Ідеальним рішенням буде ізольований комп’ютер, але можна налаштувати віртуальну машину, а краще – декілька машин з різними версіями ОС. Зараз на ринку таких безліч: VMWare, VirtualBox, KVM, Oracle VM VirtualBox, Microsoft Hyper-V, Parallels або Xen.
2. Перевірити артефакти
Сьогодні користувачі мають справу з просунутим зловмисним ПЗ — воно розуміє, запущене воно на віртуальній машині чи ні. Ось чому важливо позбутися артефактів, переглянути код, вимкнути автодетекцію і т. п.
3. Використати іншу мережу
Наступний важливий крок – використання іншої мережевої системи. Це робиться для того, щоб запобігти зараженню інших комп’ютерів у мережі користувача. Варто використовувати VPN-сервіси та головне їх правильно налаштувати. Адже дуже важливо не допустити витік трафіку зі справжньої IP-адреси.
4. Встановити реалістичну кількість ресурсів
Щоб запустити будь-яке зловмисне ПЗ необхідно зробити так, щоб система виглядала максимально автентично. Наприклад: понад 4 Гб оперативної пам’яті, мінімум 4 ядра та вільне місце на диску від 100 Гб і більше. Варто врахувати, що шкідливі програми перевіряють конфігурацію обладнання. Якщо десь є ім’я віртуальної машини, шкідливий об’єкт ідентифікує її та перестає працювати.
5. Встановити популярне ПЗ
Якщо встановити Windows і залишити операційну систему у її первинному вигляді, шкідливий об’єкт зрозуміє, що його аналізують. Рекомендується встановити кілька програм, наприклад Word, браузери та інші програми, які зазвичай мають усі користувачі.
6. Відкрити кілька файлів
Відкрити кілька документів, щоб накопичити логи та тимчасові файли — деякі типи вірусів це перевіряють. Тут потрібно показати, що це справжній комп’ютер, який комусь належить. Для цього можна використати Regshot або Process Monitor, щоб створити файлову систему та реєстр журналу змін. Але пам’ятайте, що ці програми можуть бути виявлені зловмисним програмним забезпеченням під час його запуску.
7. Імітувати підключення до мережі
Деякі види шкідливих програм перевіряють, чи можуть вони підключатися до таких вебсайтів, як Google. Як змусити шкідливу програму подумати, що вона в мережі? Такі утиліти, як INetSim та інструмент FakeNet, імітують реальне інтернет-з’єднання і дозволяють перехоплювати запити, які робить шкідливе програмне забезпечення. Необхідно перевірити мережеві протоколи між шкідливим об’єктом і його хост-сервером. Однак, попередньо, треба перевірити з чим з’єднується ПЗ, яке ми аналізуємо за допомогою WireShark. Тут треба бути максимально обережними, щоб шкідливий софт не «пошкодив» цей інструмент.
8. Підготувати інструменти для аналізу
Необхідно завантажити інструменти для аналізу. Наприклад, Flare VM або додатками зі списку нижче.
– Налагоджувачі (дебагери): x64dbg запускає і досліджує шкідливий код.
– Дизасемблер: Ghidra спрощує зворотну інженерію, відтворює вихідний код за допомогою вбудованого декомпілятора. Його також можна використовувати для виправлення багів.
– Аналізатори трафіку: Wireshark перевіряє мережеве сполучення, запит на яке відправляє зловмисне програмне забезпечення.
– Аналізатори файлів: Process Monitor, ProcDOT спрямовані на моніторинг і розуміння того, які процеси відбуваються з файловою системою.
– Монітори процесів: Process Explorer, Process Hacker допомагають спостерігати за поведінкою шкідливого ПЗ.
9. Оновити систему до останньої версії
У більшості випадків, найкращим варіантом буде оновити операційну систему до останньої версії. Однак для конкретної перевірки може знадобитися інша версія, якщо, наприклад, шкідливе програмне забезпечення використовує деякі помилки певної версії ОС. У цьому випадку треба обрати та налаштувати необхідну версію.
10. Вимкнути Windows Defender і Windows firewall
Варто вимкнути Windows Defender та/або подібні захисні системи. Адже антивірусні програми та фаєрволи можуть спрацювати на шкідливий софт та заблокувати його.
11. Підготувати файли до аналізу
Тепер треба створити папку для спільного використання, обрати потрібну директорію. Далі завантажити SnapShot аби мати змогу відтворити стан файлової системи до моменту її ураження.
Висновок
Підтримка кібербезпеки в умовах постійних загроз є нагальним питанням для кожної організації. Вміти виявляти, аналізувати та усувати загрози, а також розуміти патерни поведінки шкідливого ПЗ – є дуже важливою умовою захисту IT-середовища компанії.
Звичайно, саме компаніям вирішувати, як захищати інформаційну складову їх бізнесу. Вони можуть витрачати час та власноруч тестувати інформаційне середовище. Або компанії можуть захистити його за допомогою передових програмних продуктів і використовувати автоматизацію, інтелектуальне сканування та підтримку надану розробниками для розв’язання найскладніших проблем.
