x32x01
  • بواسطة x32x01 ||
ليه بقي الـ Malware Analysis ينفع يبقي في الـ Blue Team والـ Red Team ؟!
في ال Blue Team بيستخدمها الناس الي شغالة في ال Incident Handling الي هما بيبقوا اسمهم ال Incident Responders ييجي واحد يسأل سؤال مهم :
طب ما اي شركة او Organization كبيرة هيكون عندها Anti-Virus و Anti-Malware زي Kaspersky او TrendMicro او Symantec ااو Mcafee ايه لازمة بقي اني يكون عندها واحد فاهم في ال Malware Analysis ?!
دلوقتي انت لو Corporation كبيرة و جالك Malware عن طريق اي حاجة بقي فيه دلوقتي 2 سيناريو ممكن يحصلوا ملهمش تالت :
أول Scenario هو ان ال Anti-Malware بتاعك يمسكه و يوقف ال malware من انه يدخل علي ال System عندك..
تاني Scenario هو ان ال Malware يعدي من ال Anti-Malware بتاعك و يدخل علي ال System بتاعك و يتعمله Execution و يبتدي ينفذ ال Function بتاعته...
هيعدي من ال Antimalware ازاي دي هعملها Part كامل هتكلم فيه عن ازاي تعمل Bypass لمعظم ال Security Layers الي بتبقي موجودة في اي System طبعاً الموضوع مش بيبقي اكيد دة بيبقي Probabilistic علي حسب ال Scenario الي انت قصاده بس عمتاً هتكلم عن ال Techniques المعروفة...
لو ال Malware عدي و دخل و نفذ ال Function بتاعته يبقي ال Anti-Malware بتاعك مش شغال كويس او ال Malware دة بيكون Zero-Day لسة ملوش Signature بس معظم ل Malwares بقت بتشتغل Behavior كمان بس ع العموم الي بتعمله انك بتفتح Ticket مع ال Support بتاع ال Vendor بتاع ال Anti-malware و تقوله ازاي ال Malware دة عدي مني و حوار كبير طب لو انت Corp كبيرة و ضربك malware دلوقتي و بيسرب ال Data بتاعتك دلوقتي حالاً مش هيكون عندك وقت خالص تفتح Ticket و تستني علي ما ال Support يرد عليك بقي و لسة هيشوف ايه الي حصل يكون ال Data بتاعتك زمان الناس بتتفرج عليها ع ال Youtube لازم يكون عندك Malware Analyst وظيفته انه بيكون موجود ساعة ال Attack اول ما بيحصل بياخد ال Malware يحلله علي طول عشان يعرف هو دخل ازاي و ايه ال Functions بتاعته و من ال Data الي هيعرفها من ال Analysis هيعرف ازاي يوقف ال Malware و يشيله...عشان كدة اسمها Incident Responder لأن Incident دي يعني حالة طارئة يعني الناس الي بنكلمهم ف وقت المصايب بس ...

ازاي بقي تستخدم ال Malware Analysis في ال Red Team يعني في ال Offensive Security ...
بتستخدمه لما تكون انت Dark coder بتشتغل Malware Developer ف بتكون عايز تعرف ال Malware الي انت هتعمله دة هيعدي من ال Anti-Malwares ولا لا ف بعد ما بتعمله بتقوم عامله Analysis كأنك Incident Responder بالظبط و تشوف الحاجات الي ال incident Responder هيشوفها و تحاول تغير فيها او تعملها Manipulation عشان تعدي منه و كمان بتعمل Malware Analysis عشان تعمل Evasion Techniques لل Malware بتاعك يعني تعلمه ازاي يعدي من ال Anti-Malware الي هيكون موجود و دي هتكلم عنها بالتفصيل ف Part لواحده...
طب عشان الواحد يبقي Malware Analyst محتاج شوية Prerequisites الي هي ايه
1- محتاج تكون كويس في ال Assembly Language
2- كويس في ال Debugging
3- كويس في ال Virtualization
4- كويس في ال Hex
5- كويس في ال Network Security
بعد كدة تقدر تدخل في ال Malware Analysis.....طب ايه هي انواع ال Malware Analysis ?!
عندك نوعين لل Malware Analysis :
1- Static Malware Analysis
2- Dynamic Malware Analysis
ال Static Malware Analysis بيخليك تعمل Analysis لل Malware من غير ما تعمله Execution عن طريق انك بتعمله Reverse Engineering و Unpacking لو كان معموله Packing و Hex Checking

يعني ايه Packing ?!
دي من ضمن ال Evasion Techniques الي ال Dark Coders بيستخدموها عشان يخلوا ال Malware يعدي من اي Anti-Malware من غير ما يمسكه....ال Packer بيعمل 3 وظايف عشان يحقق ال Function بتاعته :
1- أول حاجة بيعمل Compression و Encryption لل Malware عشان ال Anti-Malware ميقدرش يقرأه
2- بيعمل Obfuscates لل Internal Funcations يعني تشويش او تعتيم بمعني ان لما حد ييجي يعمل Analysis ليها سواء Malware Analyst او Anti-Malware ميقدرش يشوف ال Malicious Function دي و بالتالي ميقدرش يعرف ال Malware دة بيعمل ايه بالظبط..
3- انه بيستخدم Packing Algorithms علي ال Malware و دي ليها 3 أنواع :
1- Single-layer packing algorithm Fi(P)
و دي بيعمل Packing لل Malware مرة واحدة
2-Re-packing algorithm Fi(Fi(P))
و دي بيعمل Packing لل Malware و بعد ما يخلص و يطلع Packed Malware يقوم عامله Packing تاني يعني من الاخر بيحط ال Malware ف علبة و يقوم جايب العلبة حاططها ف علبة تانية....
3-Multi-layer packing algorithm Fx(Fi(P))
دة بيستخدم اكتر من Packing Algorithm يعني مثلاً يستخدم عليه ال Single-Layer و بعد كدة يقوم مطبق عليه ال Re-Packing مرتين مثلاً و هكذا...
ال Reverse Engineering كنت اتكلمت عنها بالتفصيل ف Part 10 ملخص ال Reverse Engineering انه بيعمل Dissassembling لل Malware و بيقدر يوصل لل Machine code بتاعه و بعد كدة يحول ال Machine Code لـ Assembly عشان تقدر تقرأه لان انت مش هتفهم حاجة من ال 1 و ال 0 لازم لغة مفهومة..

نيجي بقي لتاني نوع من ال Malware Analysis الي هو ال Dynamic Malware Analysis :
ال Dynamic بيخليك تعمل Analysis لل Malware عن طريق انك بتعمله Execution و لما بيحصله Execution انت بتقعد تراقب ال Behaviour بتاعه يعني بتشوف سلوك ال Malware بيعمل ايه من اول ما يشتغل هيروح ينادي علي مين و بينفذ انهي Functions و بينفذها ف انهي مكان في ال memory و هل بيقدر يعمل Write علي ال Registry او ال Memory ولا هل فيه APIs بيروح يكلمها ولا لا ايه هي ال Connections الي بيفتحها عشان تقدر تشوف هو مربوط بـ C&C Server ولا لا و هكذا..
طب سؤال هيجي ف بال اي حد : انت دلوقتي بتقول في ال Dynamic Malware Analysis انت بتعمل Execution لل Malware و بتشوف ال Behaviour بتاعه طب معني كدة اني هشغل ال Malware....اه هتشغل ال Malware بس علي Virtual Lab....كل ال Malware Analysts عندهم اكتر من Virtual Lab لل Analysis
ال Virtual Lab دة لازم يكون ليه مواصفات خاصة :
1- اول حاجة انه يكون Isolated عن ال Network الي انت شغال عليها عشان لو بتعمل Execution لـ Malware بيتنفل عن طريق ال Network زي ال Ransomware ميضربش جهازك و بقيت الاجهزة الي معاك ف لازم ال Virtual Machine الي انت تكون بتشتغل عليها تكون Full Isolated.
2- تاني حاجة لازم ال Virtual Lab يكون مقنع....يعني ايه يا عم يكون مقنع ؟!
فيه Functions و Methods بيستخدمها ال Dark Coders بيخلوا الاول ال Malware يشتغل علي انه Sensor الاول يستكشف ال Environment الي هو دخلها قبل ما ينفذ ال Function بتاعته عشان يعرف اذا كان دخل Sandbox ولا Honeypot ولا لا عشان لو عرف ان الجهاز دة Honeypot او Sandbox بيوقف نفسه و مش بيعمل Execution ف عشان كدة ال Virtual Lab بتاعك لازم يكون Full Simulated لل Real World Environment يعني لازم يكون فيه Browser و لازم يكون فيه PDF Reader و Media Player و كل حاجة و لازم يكون فيه Internet Connection

استني هنا : ازاي يكون فيه Internet connection و هو Network Isolated !?
فيه Application جميل اوي كلنا بنستعمله لما نيجي نعمل Malware Analysis اسمه Fake Net دة بيعمل Simulation لكل ال Network Protocols زي ال HTTPS و ال HTTP وال FTP و ال Telnet و ال SSL وال SSH و ال DNS و ال SMTP
دة لينك ال Download بتاعه : https://sourceforge.net/projects/fakenet
طب نيجي بقي للسؤال المهم : انا لو عايز اجيب اذاكر Malware Analysis و خلاص عملت ال Virtual Lab و كله تمام ....اجيب Malwares منين اذاكر عليها و اعملها Analysis ?!
عندك يا سيدي اكتر من Resource تجيب منه Malwares :
1- اول حاجة عندك Database اسمها Virus Share دي موجود عليها Malwares كتيرة و بيحصلها Updates كتير اخر Update ليها حصل انهاردة بتحتاج منك الاول انك تعمل Registration عشان تقدر تعمل Download لل Malwares :
2- تاني حاجة اسمها MalwareDB برضو بيحصلها Updates كتير و عليها انواع مختلفة من ال Malwares
3- تالت حاجة اسمها Malware Share :
4- رابع حاجة واحد من اقوي ال Malwares الي كان موجود ع الساحة من 3 او 4 سنين كدة اسمه Zeus Malware دة ال Source Code بتاعه و علي فكرة Zeus خد وقت و مجهود من Kaspersky Labs عشان يعملوله Analysis

تالت حاجة لما تيجي تشتغل علي ال Virtual Lab بتاعك اول حاجة تعملها انك تاخد منه Snapshot قبل ما تبدأ عليه اي حاجة عشان يكون معاك Original Clean Image او زي ما بنسميها في ال Field بتاعنا انها هي ال Baseline عشان ممكن في نص ال Analysis تلاقي ال Malware ضرب الجهاز بتاعك ف تقدر بسهولة ترجع لل Snapshot الأولانية بتاعتك من غير ما تعمل اي حاجة..
اول حاجة بيبص عليها ال Malware Analyst هي ال File Identification
انه لازم يعرف نوع ال File دة ايه بالظبط لان فيه Files كتير بتكون ف Extension وهي Extension تاني خالص..ف انت اول حاجة بتبص عليها هي ال PE header
ايه هو الـ PE header دة ؟!
اسمه Portable Executable header دة بيبقي ال File Format بتاع اي Executable file بيكون موجود فيه ال Object Code و ال DLL و ال Font بتاعت ال File و بقيت ال Libraries بتاعت ال 32 او ال 64 bit
في ال PE header بيبقي فيه Values كدة هي الي بتحدد نوع ال File دة
بعد ما تشتغل شوية في ال Malware Analysis هتلاقي نفسك فيه Values كدة انت بقيت Automatic حافظها تقدر تحدد بيها نوع ال File من غير ما تبذل اي مجهود طب زي ايه ال Values دي ؟!
عندك كل ال Windows Executables زي ال EXE بتبدأ بـ MZ في ال 1-0 bytes بتاعتها يعني اول 2 Bytes في ال Windows Executables بيكون فيهم MZ
عندك ال PDF لازم يبدأ ب "-%PDF"
عندك ال Zip Archives لازم تبدأ بـ PK في ال 1-0 Bytes
دة حاجات هتيجي معاك بالخبرة في المجال بعد ما تشتغل فيه فترة...
طب كنا في الأول قولنا ان لو فيه Dark Coder عامل Obfuscation لل Malware بتاعه هيبقي صعب علي ال Malware Analyst انه يشوف ال Malicious Functions طب كدة خلاص يعني مفيش حل !؟
لا فيه Tools كتير بتعمل Deobfuscation زي :
زي ال Ballbuzard دة بيعمل Deobfuscation عن طريق انه بيعمل Reverse للـ XOR و ال ROL و اكتر من Function ف بالتالي بيقدر يوصل لل Pure Image لل Malware
فيه Tool حلوة جداً اسمها PackerAttacker دة بيعمل Extraction لل Hidden Code الي معموله Obfuscation :
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
5
x32x01
x32x01
x32x01
الردود
0
المشاهدات
8
x32x01
x32x01
x32x01
الردود
0
المشاهدات
11
x32x01
x32x01
x32x01
  • x32x01
الردود
0
المشاهدات
13
x32x01
x32x01
x32x01
الردود
0
المشاهدات
7
x32x01
x32x01
الوسوم : الوسوم
blue team malware malware analysis offensive security red team

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,530
المشاركات
1,716
أعضاء أكتب كود
191
أخر عضو
Ahmed123132
عودة
أعلى