Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Amazon malware Analyse

08-07-2014, 19:50 door Ler0y JenKins, 11 reacties
Hallo Security.nl,

Ik heb zojuist op mijn honeypot-emailadres een e-mail ontvangen van Amazon.
De betreffende e-mail:

National
Hi,
Thanks for your order. We’ll let you know once your item(s) have dispatched.You can check the status of your order or make changes to it by visiting Your Orders on Amazon.com.

Order Details
Order LA2407644 Placed on May 16, 2014

Order details and invoice in attached file.

Need to make changes to your order? Visit our Help page for more information and video guides.

We hope to see you again soon. Amazon.com


Er zat een bijlage bij genaamd "Order-ID".zip. Dit is ongetwijfeld malware.

Nu wilde ik graag tips, ik heb een Kali draaien (op een laptop, en een Linux Ubuntu (ook op een laptop), Daarnaast ook een Windows 7 32 bit Enterprise op een virtuele machine. De tips die ik van jullie vraag...

- Wat kan ik het beste gebruiken om deze malware te analyseren?
- Welke tools zijn het handigst? (Voorheen heb ik wat gespeeld met Process Explorer e.d)

Het resultaat wat ik wil bereiken is dat ik kennis krijg over de binnenste code van de malware.
Ik zou het geweldig vinden als ik bijvoorbeeld achter het IP-adres kon komen (Ook al is het gespoofed)
En ik zou graag willen zien hoe de code van binnenuit werkt.

De tips en meningen die ik van jullie vraag, hoe kan ik hier het beste mee omgaan?

Bij voorbaat dank.
Reacties (11)
08-07-2014, 22:04 door Britec09 - Bijgewerkt: 08-07-2014, 22:11
Een VM gebruiken en openen in sandboxie
verder zou je verscheidene tools kunnen gebruiken die op internet staan
Je zou ook nog iets kunnen proberen met firewire
Veel succes :)
09-07-2014, 01:25 door [Account Verwijderd]
order-id.zip is hoogst waarschijnlijk "order-id.zip.exe" . Als je bekend bent met reverse-engineering dan hoef je je vraag niet te stellen.
Als je er niet bekend mee bent dan heeft de vraag niet veel zin.

Verdiep je in programmeer talen als je daadwerkelijk de malware wilt detecteren.
09-07-2014, 10:42 door Anoniem
Ja ik las dit gisteren en wist niet zo goed wat ik moest (lees: "wilde") antwoorden, bovenstaande reacties kwamen ook in mijn overwegingen voor.

Allereerst is het belangrijk om te weten of je je Windows-machine nodig hebt voor andere zaken dan spelen met malware.
Als je je Windows ooit gebruikt hebt om persoonlijke dingen mee te doen (mailen / surfen / zaken / wat dan ook), zou ik beginnen met het opnieuw installeren van dat OS. Windows heeft namelijk nogal de neiging om allerlei persoonlijke details op te slaan buiten het zicht van de gebruiker om, malware daarentegen weet vaak wel logjes door te knallen naar de verspreider.


OK, er vanuit gaande dat je je Windows-bak kunt missen kan ik door met stap 2. Je netwerk.
Malware gaat vaak op zoek naar andere systemen binnen je netwerk en daar zul je dus van tevoren goed over na moeten denken. Niet alleen is het mogelijk dat malware je netwerk van binnenuit aanvalt, ook is het mogelijk dat er inlog-gegevens worden doorgezonden waardoor je ook kwetsbaar wordt van buitenaf. Tot slot is er het risico dat je ISP niet gelukkig wordt van je malware-spel, denk even aan een DDoS bijvoorbeeld.


Basics gehad, nu over naar de analyse.
Paar opties; een VM (veel malware weet deze te herkennen en wordt vervolgens niet actief), een halve VM (zoals SandBoxie of de SandBox van je AV bijvoorbeeld) met alle onhandigheden van dien, of je besluit je hele Windows-systeem als honeypot in te zetten. Dat is vanuit malware-perspectief de handigste optie, maar het is op die manier wel een stuk lastiger om de malware (vooral de installatie er van) goed te volgen. Back-ups / images is dan ook het advies!

Om IP's te achterhalen gebruik ik zelf BackTrack.
Om een analyse te maken van een executable is er wat meer kennis vereist, vooral van de werking van het OS zelf, en aangezien je helemaal niets meldt over je kennis- / opleidingsniveau kan ik daar verder moeilijk uitspraken over doen.
Het feit dat dit een geïndexeerd forum is, is voor mij een goede reden om verder geen tools, tricks of tips op dat vlak te willen geven.


Als ik zo vrij mag zijn een inschatting te maken, zou ik je wel kunnen adviseren eens op zoek te gaan naar een gratis cursus om wat meer te leren of malware, het OS, en de verwijdering van malware uit het OS.
Kijk anders eens op GeeksToGo bijvoorbeeld...

Hopelijk kun je zo weer iets verder, vragen staat altijd vrij natuurlijk ;)


Veel plezier en succes verder!
09-07-2014, 12:04 door Anoniem
• Trucje om een zip (een beetje) van binnen te bekijken zonder te openen

- haal het file eerst eens door een virusscanner
- zet extensie weergave op je computer aan
- zet in de filenaam achter de huidige extensie .zip nog .txt
- open het file in een (simple) text editor
- in de eerste regel zie je de letters PK wanneer het een zip file is (volgens mij)
- kijk naar de laatste regels van het document (helemaal naar beneden scrollen) en je ziet tussen het gekriebel onder elkaar in leesbare tekst de ingesloten bestandsnamen van de files in het zip.

Dan heb je alleen nog maar een indicatie van de bestandsnamen binnen het zip die weer van alles kunnen zijn, maar goed het is al een simpel beginnetje.

zie je geen herkenbare bestandsnamen, dan is het wellicht geen zip van/met diverse bestanden.

• Eigen risico, ik vermoed dat wanneer er een virus in het file zit dit niet geactiveerd wordt wanneer je het als txt document zou openen.

Wellicht weet iemand hier of dat ook echt een redelijk risicoloze aanpak is.
09-07-2014, 14:15 door Anoniem
Door Anoniem:• Eigen risico, ik vermoed dat wanneer er een virus in het file zit dit niet geactiveerd wordt wanneer je het als txt document zou openen.

Wellicht weet iemand hier of dat ook echt een redelijk risicoloze aanpak is.
Plain text bekijken is, zolang je een plain-tekst-editor gebruikt (notepad bijvoorbeeld) geen enkel probleem.
Ook het unzippen door een programma als WinZip / 7zip van een archief kan geen enkel kwaad.

Je moet wel even opletten dat je een bestand opent vanuit een editor (notepad / 7zip) in plaats van er van uit te gaan dat met dubbelklikken het juiste programma wordt gebruikt. Just saying...

Als je extensie tegenkomt die je niet kent, eerst even Googlen, er zijn meer script talen dan je zou denken ;)
09-07-2014, 19:27 door Anoniem
Een aantal famillies van malware heeft anti-sandboxing/forensics detectie. Dit houdt in dat het niks doet als het in een sandbox draait. Dus wellicht zul je bare-metal moeiten draaien.

Malware analyseren gaat precies hetzelfde als reverse engineering van software. Dus je zult nooit de oorspronkelijke source code te zien krijgen, maar slechts een deel ervan.

Ik heb een betere tip voor je, download eens de source code van stukken malware die niet te complex zijn en ga daar mee eens puzzelen. Je krijgt een beter overzicht van de code + je brengt je eigen PC niet direct in gevaar.

Als je hierin verder wilt verdiepen; google eens op malware forenics, ik weet zeker dat je daar meer info gaat vinden dan op dit forum. Malware forensics is niet uit te leggen in een post.

Checklist voor malware foreniscs:
- Kennis over een of meerdere programmeertalen
- Kennis van besturingsysteem (vaak Windows), in depth..

Btw, ik denk niet dat je malware te pakken hebt. Grotere kans dat je een downloader te pakken heeft, een stukje rogue software die malware kan downloaden. De eigenaar van die software vraagt geld om malware op je PC te installeren.
Hou hier dus ook rekening mee in je analyse.

Succes.
09-07-2014, 21:04 door Anoniem
ik heb deze mail ook ontvangen, en een aantal dagen hierboor dezelfde.
verder heb ik gekeken op site van amazon.com en opgezocht waar ik dit kan verifieren, ik heb mail doorgestuurd.
kreeg dezereactie:

Thank you for writing to Amazon.com to bring this to our attention.
Your message has been forwarded to our security department, and we will investigate the situation. Please note that you may not receive a personal response.
In all likelihood, the message you received was not sent to you by Amazon.com. We strongly advise that you *not* send any information about yourself back to this individual (especially your credit card number or any personal information).
If you have already submitted any personal information to this person via e-mail or on a potentially fraudulent web site, you may wish to contact Customer Service for assistance. To send an e-mail to Customer Service, please visit www.amazon.com/contact-us/
In the future, if you are ever uncertain of the validity of an e-mail, even from us, don't click on any supplied links--instead, type our web site address "www.amazon.com" directly into your browser and follow the regular links to Your Account. Many unscrupulous spoofers mislead consumers by displaying one URL while taking the visitor to another.
By typing in a well-known address you can avoid this trick.
Also, please be assured that Amazon.com is not in the business of selling customer information. Many spammers and spoofers use programs that randomly generate e-mail addresses, in the hope that some percentage of these randomly-generated addresses will actually exist.
If you are trying to contact us about something other than a spoofed e-mail message, please contact Customer Service for assistance. To send an e-mail to Customer Service, please visit www.amazon.com/contact-us/
If you encounter any other uses of the Amazon.com name that you think may be fraudulent, please do not hesitate to contact us again.
Thank you again for taking the time to notify us of this situation.

het is dus een virus, zip bestand niet openen!

Edward
10-07-2014, 09:17 door Anoniem
Door Britec09: Een VM gebruiken en openen in sandboxie
verder zou je verscheidene tools kunnen gebruiken die op internet staan
Je zou ook nog iets kunnen proberen met firewire
Veel succes :)

Helemaal fout dus. Meer ga ik niet zeggen...
11-07-2014, 10:46 door Bert de Beveiliger
Een leuke tool om mee te beginnen is PEStudio, zie bv. http://www.toolswatch.org/2014/01/pestudio-v7-98-the-static-investigation-tool-for-windows-executable-binary-updated/.

PEStudio doet een 'static investigation' van de binary, dus zonder deze uit te voeren en dus geen mogelijkheden tot infectie te geven. Natuurlijk is deze methode wat beperkt, maar naar mijn onbescheiden mening een onmisbare tool voor elke forensic researcher.
11-07-2014, 13:35 door Anoniem
Twee korte opmerkingen,

Als je wilt leren om malware uit elkaar te halen, prober dat dan eerst eens met onschuldige test malware. En pas als je ervaring hebt opgebouwd met echte malware.

Mocht je toch proberen, houdt er dan rekening mee dat diegene die het gebouwd heeft attend is op backtracking pogingen, dus dat als je iets vindt en je probeerd te achterhalen wie het heeft gedaan, je na vele uren werk nog nergens uitkomt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.