pompa 2 Опубликовано: 2 июн 2021 Стилеры, майнеры, ратники и прочая ересь — все это часто вшито в кряки скачиваемых программ. И далеко не все могут провести полный анализ файла. Тут нужно потратить время на разбор дампов памяти/сети, изменений в регистре и т.д. А мы обычно просто скармливаем VirusTotal файл и смотрим, какую оценку он дает. Это очень поверхностно. Не надо так! Первое, что нужно сделать — зарегистрировать учетную запись. Только с ней можно посмотреть больше данных об анализируемом файле. Раздел Relations Здесь первые три подраздела показывают идентифицированные подключения к доменам/IP-адресам/страницам. Пример: Что можно определить по доменным именам, с которыми приложение устанавливает связь? Легитимные они (обычно это официальные сайты компании/разработчика), или не очень. Вторые обычно: --содержат домены бесплатных хостингов (например, beget или 000webhost); --имеют в имени подозрительные словосочетания (iplogger/crypto/steal и т.п.). Учтем, что многие сайты со словами crypto/btc/xmr в домене используются для добычи криптовалюты. Это майнеры. --называются произвольным набором цифро-буквенных символов (примеры: ttr4p; bb3u6); --размещены на недорогих доменах верхнего уровня (примеры: *.xyz, *.pw, *.wtf); Это далеко не полный список. Но по этим признакам ты сможешь определить большую часть распространителей вредоносного ПО. Когда приложение подключается к конкретным IP-адресам, надо проверить вот что: что это за IP (используй whois); что размещено по этому адресу; файлы, которые связывались с этим адресом. Эту инфу можно узнать в VirusTotal — просто кликай по интересующему адресу. В подразделе Details находятся whois и результаты поиска по адресу в поисковике: Подраздел Relations содержит инфу о сайтах, размещенных на IP в разное время. Плюс там данные о файлах (загруженных на VirusTotal), которые подключаются к этому адресу: Следующий полезный подраздел — Dropped files. Как можно понять из названия, это созданные приложением файлы. Майнер, например, создает различные скрипты, написанные на Visual Basic, и исполняемые файлы (используются как майнеры). Graph Summary — удобной способ чекать все данные выше. Не будем заострять на этом внимание. Раздел Behavior Здесь отображается анализ с песочниц. Рекомендуем использовать VirusTotal Jujubox и Dr.Web vxCube — они дают больше данных. Не хочется повторяться, поэтому разберем только отдельные подразделы. Registry Actions. Здесь изменения (создание/удаление/изменение ключей) регистра. Рекомендуем особое внимание обратить на разделы регистра, отвечающие за автозагрузку: Код: <HKCU>\Software\Microsoft\Windows\CurrentVersion\Run <HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce <HKLM>\Software\Microsoft\Windows\CurrentVersion\Run <HKLM>\Software\Microsoft\Windows\CurrentVersion\RunOnce Processes Tree — это возможность проследить созданные процессы. Можно определить, какие системные/легитимные файлы были заражены: Итог VirusTotal — отличный сервис для анализа приложений. Но никакой статический анализ не заменит динамический 0 Поделиться сообщением Ссылка на сообщение
79rebol 3 Опубликовано: 2 июн 2021 Без вт ни одна скачка не проходит 0 Поделиться сообщением Ссылка на сообщение
Britanec1969 3 Опубликовано: 3 июн 2021 17 часов назад, 79rebol сказал: Без вт ни одна скачка не проходит и что больше никаких альтернатив не используешь? 0 Поделиться сообщением Ссылка на сообщение