iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 25
3
Security

資安分析師的轉職升等之路系列 第 26

Day 25 研究惡意程式的杜鵑 Cuckoo

  • 分享至 

  • xImage
  •  

成為別人認同的資安專家後,在公司裡常常會被問道:「這個檔案可以開嗎?」「這封郵件安全嗎?」「這個URL連結可以點擊嗎?」「這封電子賀卡可以開嗎?」假使員工資安意識教育效果良好,如Day4 和Day5分享,大家會有所警覺,主動回報可疑電子郵件,向資安團隊確認。一般可疑的電子郵件能從寄件人郵件地址和郵件主旨看出蛛絲馬跡,或從郵件 header標頭,或從郵件內容、裡面的URL連結、信末的簽名檔判斷,但總有一些可疑電子郵件是從已知的寄件者寄來,收件人也覺得剛好在等著這封信,應該可以開啟郵件附檔,或覺得URL沒問題應該點擊下去試試看。面對層出不窮的各種釣魚攻擊手法,要怎麼分辨是否為惡意程式呢?

首先我們可以將這些可疑的檔案、URL、IP等等與現有的資安威脅情資平台比對,例如 Cisco Talos、IBM X-Force Exchange、Checkpoint Threat Emulation & Threat Extraction、VIrusTotal等等,看看URL或IP是否為惡意連結,檔案是否為之前登記在案的惡意程式,甚至上傳可疑檔案讓資安威脅情資平台分析,等分析報告出來後再作定論。VirusTotal甚至有桌面上的程式和瀏覽器Extension套件,讓我們點擊右鍵選項來上傳檔案、掃描URL等,可謂十分方便。很多防毒軟體廠商也都有提供網頁讓大家上傳可疑檔案供專門的惡意程式分析員研究。

若是上傳檢索後沒有顯示結果,難道就沒問題了嗎?其實駭客也很努力創作新的惡意程式,並不一定每個惡意程式之前都有被回報,這時候可以在一個隔離的環境下,試著點擊URL或開啟檔案,看看有什麼結果。社群裡有人推薦使用Browserling這個工具。Browserling 原本是讓開發人員測試網站在不同版本、不同種類瀏覽器下有什麼效果,因為它是在一個遠端的虛擬環境下開啟瀏覽器,與本端機器試隔離的,可以想看一下點擊URL後會開啟什麼網頁。有一次我和一名用戶解釋了很久,他非常堅持那封電子郵件是他朋友想透過Google Doc和他分享極為重要的文件,必須立即開啟回復,無論我怎麼解釋都沒用,所以我開了個Browserling的視窗,把所謂的「Google Doc分享連結」丟上去,讓他看看點擊後會開啟什麼視窗,才讓他心服口服。

若是附在電子郵件中的檔案,或者是下載的檔案,也必需在隔離的環境下開啟,運用各種不同工具檢視,例如觀察是否開啟新的Process、是否對系統檔案如Registry做出改變、是否檔案本身正常但是有新連結引導到惡意程式、或者是否在開啟檔案的過程中自動下載惡意程式等等。有一個不錯的開源工具可以使用,那就是Cuckoo Sandbox (杜鵑)
會喜歡Cuckoo是想避免麻煩的程序,因為有時候並沒有要當專門研究惡意程式的資安專家,不想手動設置虛擬隔離環境後一項一項安裝各種分析程式,Cuckoo的話只要按照程序安裝,設置好隔離虛擬環境﹝例如Virtualbox﹞,安裝Agent,便能將惡意程式分析自動化,流程非常類似上傳檔案至VirusTotal,只要將可疑檔案上傳到Cuckoo,Cuckoo會自己管理VM,開啟VM後在裡面自動分析可疑程式,產生報告,我們可以從Cuckoo的日誌或螢幕截圖掌握情況,也可以開啟VM視窗看點擊可疑檔案後有什麼變化,很多時候其實這就足夠了,純粹只是想讓用戶知道:「嘿!你看喔,你收到的檔案如果點擊打開,接下來會有一些奇怪的行為,你看」。如果有心往惡意軟體分析這個領域深入,也可以研讀相關文件。在youtube上其實有很多Cuckoo教學視頻和在環境裡測試WannaCry、Locky等等的影片,所以這篇文章我就不放螢幕截圖了。

「不知道的東西就邊查遍做,這可是SE的基本要求喔。」- - 《奮鬥吧!系統工程師》

你有使用這些工具或其他工具的經驗嗎?歡迎留言分享。

Cisco Talos
https://talosintelligence.com/
IBM X-Force Exchange
https://exchange.xforce.ibmcloud.com/
VirusTotal
https://www.virustotal.com/#/home/upload
Checkpoint Threat Emulation & Threat Extraction
https://threatemulation.checkpoint.com/teb/

Browserling
https://www.browserling.com/

研究惡意程式的小幫手,開源的杜鵑Cuckoo Sandbox
https://cuckoosandbox.org/

來自Youtube帳號Fantastic Mr Fox的視頻:Submitting Locky ransomware to Cuckoo Sandbox。可以看到上傳檔案,Cuckoo自動進行分析的流程。
https://youtu.be/qkYanAPSqvw


上一篇
Day 24 有接線也連不上 : 網路存取管制系統 NAC
下一篇
Day 26 牆外有牆 : 防火牆之外還要WAF 網頁應用系統防火牆
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2018-02-01 22:16:03

發現漏了一個大家也很常用的Abuse IP Database
https://www.abuseipdb.com/

super288 iT邦研究生 3 級 ‧ 2022-06-17 09:42:53 檢舉

看了CyberSerge的介紹才知道原來有這麼多的工具可以使用~真的是讓我大開眼界~太厲害了~讓我在了解資安的觀念更有想法~
在此感謝

工具只是開始,也持續會一直有新的工具;廚師有好的工具會事半功倍,但仍然要增進廚藝。希望對大家有幫助,大家一起加油學習

我要留言

立即登入留言