Security Professionals - ipfw add deny all from eindgebruikers to any

Online Malware Analysis systems

19-12-2014, 23:11 door W. Spu, 8 reacties
Welke Online Malware Analysis systems zijn er op internet te vinden. Via Malwr.com kun je een bestand uploaden en kijken wat er op een virtueel systeem gebeurd als het bestand uitgevoerd wordt. Hiervoor met het bestand echter wel op je eigen systeem staan met het risico dat het bestand per ongeluk geopend wordt. De website kan echter niet overweg met een zip bestand met wachtwoord of met een rechtstreekse url naar het bestand.

Welke Online Malware Analysis systems zijn er allemaal en wat kunnen ze?
Reacties (8)
19-12-2014, 23:36 door Anoniem
www.cuckoosandbox.org
20-12-2014, 00:11 door Erik van Straten
19-12-2014, 23:11 door W. Spu: Welke Online Malware Analysis systems zijn er op internet te vinden. Via Malwr.com kun je een bestand uploaden en kijken wat er op een virtueel systeem gebeurd als het bestand uitgevoerd wordt. Hiervoor met het bestand echter wel op je eigen systeem staan met het risico dat het bestand per ongeluk geopend wordt. De website kan echter niet overweg met een zip bestand met wachtwoord of met een rechtstreekse url naar het bestand.
Van verdachte bestanden wijzig ik altijd de extensie (bijv. .exe -> .xex). Na download in bijv. c:\malware\ open je een cmd-prompt in een andere map en voer uit:

> ren c:\malware\*.exe *.xex
> dir c:\malware

Maar het is natuurlijk veiliger om (mogelijke) Windows malware op een ander besturingssysteem te manipuleren.

19-12-2014, 23:11 door W. Spu: Welke Online Malware Analysis systems zijn er allemaal en wat kunnen ze?

In http://www.cs.ucsb.edu/~vigna/publications/2014_USENIX_BareCloud.pdf, bovenin de references, vind je enkele links (bron:
http://www.theregister.co.uk/2014/08/18/vxer_fighters_get_new_stealth_weapon_in_war_of_the_malwares/).

Als je zelf aan de gang zou willen gaan, check dan http://yara.readthedocs.org/ en https://plusvic.github.io/yara/.

Daarnaast heb je natuurlijk VirusTotal. Echter, hoe je die zover krijgt dat deze binaries zodanig analyseert dat een "Behavioural Information" tabblad getoond wordt (zoals bijv. te zien is in https://www.virustotal.com/en/file/4c2efe2f1253b94f16a1cab032f36c7883e4f6c8d9fc17d0ee553b5afb16330c/analysis/), weet ik niet - iemand?
20-12-2014, 22:04 door Anoniem
http://camas.comodo.com/
https://anubis.iseclab.org/
21-12-2014, 14:01 door W. Spu
Iedereen bedankt voor de aanvullingen. Naast de best practices en informatie over de werking van een M.A.S (of hoe er één zelf op te zetten) heb ik ook de websites met een online M.A.S. kort even bekeken.

De website http://camas.comodo.com/ had ik al eens gevonden maar nog niet mee getest. Ik zie zo 123 geen mogelijkheid om een url te laten scannen maar ik zal bij een volgend malware exemplaar deze website zeker een keer gebruiken.

De website https://anubis.iseclab.org/ heb ik wel vaker gebruikt. Naast het uploaden van een lokaal bestand kan er wel een url opgegeven worden maar er wordt helaas alleen getest wat er met Internet Explorer gebeurd als een website wordt bezocht. Het bestand wordt echter niet gedownloaded en geanalyseerd. Dit kan met VirusTotal wel maar deze geeft maar beperkt (alleen bij een executable?) een behavioural information.

P.S. Voor het controleren van een website gebruik ik een aantal andere website's:
http://sitecheck.sucuri.net/
http://urlquery.net/
http://quttera.com/
Vaak wordt er in een phishing/malicious mail verwezen naar een website en wordt de gebruiker gelijk doorgelinkt naar een andere website met de echte malware webpagine. Ik controleer een redirect vaak via http://www.internetofficer.com/seo-tool/redirect-check/

Mocht iemand nog een andere website weten waar je ook een url naar een malicious bestand kan laten controleren op een Malware Analysis System dan hoor ik dat graag!
21-12-2014, 15:24 door Anoniem
Mocht iemand nog een andere website weten waar je ook een url naar een malicious bestand kan laten controleren op een Malware Analysis System dan hoor ik dat graag!
Je kent VTexplorer van Virustotal?
Zie:https://www.virustotal.com/nl/documentation/browser-extensions/internet-explorer/
Een kleine utility die je installeert op je computer, en waarmee je vanuit de Internet Explorer browser
een embedded URL via een rechter muisklik vanuit het dropdown menu naar Virustotal kunt zenden.
Is de URL niet embedded, maar weergegeven in plain tekst, dan kun je de URL selecteren ("highlight" de tekst),
je klikt op de geselecteerde tekst met de rechtermuisknop, en eveneens via dropdown menu zenden naar Virustotal.
De utility opent daarna een nieuwe browserwindow om de resultaten van Virustotal in weer te geven.

Sinds kort ook werkend te krijgen in IE11. (de laatste ontwikkelingen hierover staan beschreven in:
https://www.security.nl/posting/411290/VTexplorer+issue+IE11+x64
Maar heeft nog net geen status van "voorpaginanieuws" gekregen. ;-)


Voor de Firefox browser bestaat er VTzilla:
https://www.virustotal.com/nl/documentation/browser-extensions/mozilla-firefox

Voor Chrome is er VTchromizer:
https://www.virustotal.com/nl/documentation/browser-extensions/google-chrome

Mvg cluc-cluc
21-12-2014, 17:22 door W. Spu - Bijgewerkt: 21-12-2014, 17:40
Door Anoniem: ...

Mvg cluc-cluc
Ik ben bekend met de tools voor VirusTotal en ken ook de mogelijkheden van Process Explorer om een hash van een process te controleren op VirusTotal maar dan moet de malware al op een systeem staan. Ook is de behavioural information van VirusTotal vrij beperkt t.o.v. bijvoorbeeld die van Malwr.com. Als de malware bijvoorbeeld malicious code in het msiexec.exe proces injecteerd om daarmee het systeem verder te besmetten zie je dit niet op VirusTotal.com.
22-12-2014, 10:24 door Anoniem
5 per dag en 25 met een gratis account.
https://csi.websense.com/

http://www.threatexpert.com/submit.aspx
http://www.file-analyzer.net/
http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx

Handig om zonder gevaar de bron van een pagina te kunnen bekijken (doet alleen html)
http://www.toolsvoid.com/url-dump

Handig om zonder gevaar de te kijken hoe een pagina er uit ziet:
http://ctrlq.org/screenshots/
22-12-2014, 23:21 door Anoniem
Door W. Spu:
Ik ben bekend met de tools voor VirusTotal en ken ook de mogelijkheden van Process Explorer om een hash van een process te controleren op VirusTotal maar dan moet de malware al op een systeem staan. Ook is de behavioural information van VirusTotal vrij beperkt t.o.v. bijvoorbeeld die van Malwr.com. Als de malware bijvoorbeeld malicious code in het msiexec.exe proces injecteerd om daarmee het systeem verder te besmetten zie je dit niet op VirusTotal.com.
OK. Het leek mij dat wanneer een bestand bekende malicious code bevat, in welke vorm dan ook, dat zoiets in de meeste gevallen wel uit de bus zal komen door de url van het downloadable bestand bijv. via een VT-tool naar VirusTotal te zenden. Virustotal onderzoekt dan of de inhoud van het bestand achter de url aanslaat op hun selectie van virusscanners.
Het bewuste bestand hoeft in dit geval dus niet op je eigen systeem te staan.

Overigens wat sommigen (velen?) niet kennen, is dat Virustotal best nog wel veel info geeft, maar een beetje verstopt.
Als namelijk de opgegeven URL specifiek naar een downloadable bestand op een website wijst,
dan kun je met één muisklik ook de virusscanner-analyse van dat bestand opvragen.
De nieuwe window waarin deze informatie wordt weergegeven bestaat vervolgens weer uit meerdere tabs, te weten:
Analyse (Analysis) (deze is geselecteerd), Bestandsgegevens(Item-detail), Aanvullende informatie(Additional info),
Reacties(Comments), Stemmen (Votes) en Gedragsinformatie (behavioural-info).
Kwestie van de juiste tab aanklikken om deze info tevoorschijn te toveren. (lukt alleen als javascript aan staat)
(Dit beantwoordt waarschijnlijk ook de vraag van Erik van Straten over de laatste url in de post van 20-12-2014, 00:11 door Erik van Straten?)

Voor wie meer willen: Lenny Zeltser geeft op deze website een startpunt inclusief lijstje met M.A.S.:
http://zeltser.com/reverse-malware/automated-malware-analysis.html
Doe er je voordeel mee.

Mvg, cluc-cluc
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.