offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Jos jedan clanak u nizu na temu sakupljanja virusa
U jednom od proslih clanaka ( http://www.mycity.rs/phpbb/viewtopic.php?t=29996 ) smo pricali o tome kako sistemi najcesce budu zarazeni malicioznim programima. Rekli smo da se to najcesce desava u toku surfovanja sajtovima diskutabilnog ponasanja (warez, za-odrasle-o... sajtovi).
Pricali smo takodje o HOSTS listama, kojima je moguce u potpunosti zabraniti pristup tim i takvim sajtovima.
Pretpostavljam da vam je vec sinula ideja kako su te HOSTS liste idealni izvori za nalazenje novih napasti.
Problem je sada kako ih pravilno iskoristiti, a da ne uvalimo sebe (tj. svoj sistem) u nevolje.
Idealna situacija bi bila imati zrtvenog jarca, tj. izdvojeni kompjuter, totalno nezasticen, i njega iskoristiti za posete takvim sajtovima da bi smo se namerno zarazili.
Kako retko ko, od nas obicnih smrtnika, moze sebi priustiti 'zrtvenog jarca', onda moramo traziti alternativna resenja.
Jedno od alternativnih (i nama najzanimljivijih) resenja su virtualne masine.
Od aktuelnih komercijalnih virtuelnih masina nabrojacu sledece:
- VMWare (vise razlicitih verzija razlicitih namena) - http://www.vmware.com
- VirtualPC (sada MS-ov, ranije Connectix VirtualPC) - http://www.microsoft.com/windows/virtualpc/default.mspx
Pored ovih postoje jos puno njih, ali iz vise razloga bih ih proglasio 'drugom klasom'.
Od besplatnih VM, tu su:
- QEMU - http://fabrice.bellard.free.fr/qemu/ , Windows verzija - http://www.h7.dion.ne.jp/~qemu-win/
- BOCHS - http://bochs.sourceforge.net/
Medju nabrojanima, moj favorit je VMWare Workstation, delom zbog brzine, delom zbog jedne mogucnosti koja je nama od znacaju u 'Lovu na vestice'.
Da nabrojimo sada sta nam je sve potrebno za ovaj lov:
- VMWare Workstation
- Windows XP CD (bez integrisanih service packova)
- VMWare DiskMount - http://www.vmware.com/download/diskmount.html
(za one koje imaju problema sa otvaranjem ovog sajta, ovo je direktan link za download: http://vmware-svca.www.conxion.com/software/VMware-mount-5.0.0-13124.exe )
- HOSTS fajlovi
- malo programerskog iskustva/znanja da bi smo sebi olaksali posao
Startujemo VMWare i napravimo novu virtualnu masinu (koristeci lep, i za divno cudo - funkcionalan Wizard).
Kao Guest OS odaberemo Windows XP (32-bit) - ovo je bitno za kasnije.
U podesavanjima, za pocetak iskljucimo simuliranu mreznu karticu (ne brisemo je).
Sada instaliramo Windows u virtuelnoj masini i podesimo ga da radi brze (Classic tema, iskljucen System Restore, iskljuceno indexiranje...).
Kada to uradimo, u VMWare-u, u meniju VM, odaberemo opciju za instalaciju VMWare Tools, sto ce nam omoguciti copy/paste izmedju realnog sistema i onog u virtuelnoj masini.
Klikom na tu opciju ce se u VM-u (Virtuelnoj masini) startovati autorun sa instalacijom VMWare Tools (SVGA drajver, drajver za misa, copy/paste opcija...).
Kada to odradimo, VM ce traziti restart. Nakon tog restarta nam vise nece trebati Alt+Ctrl da bi smo prelazili iz VMa u realan sistem, vec kursor mozemo pomerati iz/u VM kao da je sistem u VMu najobicniji program pod Windowsom.
Sada (posle sat vremena rada) imamo cistu virtuelnu masinu, koja ce biti nas zrtveni jarac.
Sledece stvar koju zelimo da uradimo je da sacuvamo rezervnu kopiju te masine, da bi smo mogli da u svakom trenutku vratimo sve na pocetno stanje.
Meni VM>Clone i odaberemo folder za rezervnu kopiju. Ovo moze da se odradi i rucno, kopirenjam foldera u kome smo snimili VM.
Sada, kada smo odradili rezervnu kopiju, mozemo krenuti sa lovom.
Ukljucujemo simuliranu mreznu karticu u NAT modu. Otvorimo Internet Explorer u VM-u, i proverimo da li moze da se pristupi internetu.
Ukoliko radi idemo dalje: prebacimo HOSTS fajl na desktop VMa prevlacenjem (drag&drop). Za ovo nam je bio potreban VMWare Tools.
Sada otvaramo hosts fajl u notepadu, citamo sve one adrese, i redom ih posecujemo koriscenjem IE-a (sa aktiviranim ActiveX-om, JS-om itd).
Ovde bi malo programiranja bilo od pomoci, tj. program koji bi sam citao adrese iz HOSTS fajla, i redom ih otvarao u IE-u.
Kada se dovoljno zarazimo za taj dan, uradimo shutdown VM-a i idemo na sledeci korak.
Sada nam je potrebno da uz pomoc programa VMWare DiskMount mountujemo virtuelni disk na nas radni sistem. Necu ulaziti u detalje kako se to radi, potrebno je malo citanja help fajla, posto se ovim programom radi iz komandne linije (CMD).
Kada uspemo da mountujemo virtuelni disk, preskeniramo ga nasim omiljenim AV programom, s tim sto ne dozvoljavamo brisanje.
Onda sve ono sto je nas AV detektovao iskopiramo iz VM-a u neki folder u kome pravimo kolekciju. I ovo se moze automatizovati recimo koriscenjem programa koji smo mi napravili, a spomenut je u ovoj temi:
http://www.mycity.rs/phpbb/viewtopic.php?t=28465
Kada lepo iskopiramo sve fajlove u nasu kolekciju mozemo i dalje u virtualnoj masini terati zarazen sistem, u nadi da ce postojeci malware navuci jos malwarea, ili vratiti rezervnu kopiju (Clone), i raditi sa cistom masinom. Moj je predlog da se cista masina vrati tek onda kada je zarazena toliko zaglibila da je postala neupotrebljiva (prespora, plavi ekrani, obrisani podaci usled infekcije itd).
Onog momenta kada Peca uspe da napravi poseban sajt za nase bavljenje zastitom, onda cemo zainteresovanima za saradnju staviti na raspolaganje sve one fine programe koje mi pravimo za sakupljanje virusa, kao i programe za njihovu selekciju.
Trenutno se radi program koji ce sam 'navlaciti bedu' na IE uz pomoc HOSTS fajlova. Prva verzija ce biti malo gluplja, pa ce samo otvarati sajtove, dok za sledece verzije planiramo pravi spajder, koji ce posecivati i linkove koji se pojavljuju na adresi iz HOSTS fajla.
Mane ovakvog sakupljanja:
Ovakvim sakupljanjem se ne moze stici do informacija koje bi omogucile pravljenje definicija za AV programe.
Za definicije i uputstva za otklanjanje malwarea, potrebno je jos skupiti i promene u registry bazi, podatke o tome na koje sistemske fajlove se vezuju pojedini malware-i (winlogon, svchost...). Opisanom metodom se mogu samo sakupljati fajlovi koji su vec prepoznati od strane AV-a kojim budete skenirali virtuelni disk.
Ukoliko zelite da ovakav sistem iskoristite za potpunu analizu (kao sto MS radi sa HoneyMonkey projektom), onda je su potrebni jos i sledeci programi:
- program za registry snapshot koji ima export razlike u snapshotovima
- directory snapshot program (MC vec ima razvijen jedan svoj koji uporedjivanje promena radi na osnovu MD5 hasha)
- process explorer kojim se moze ustanoviti u koji proces su izvrsene injekcije malicioznih dll-ova (spominjali smo jedan ovakav u prethodnim clancima).
Zadnji od nabrojanih zahteva da covek vrsi analizu, posto je nemoguce vrsiti analizu procesa nekom automatizacijom. Naravno, ovo zadnje vam je potrebno samo ukoliko odlucite da napravite svoj AV program 
I za kraj jedna zanimljivost, nevezana za ovaj clanak (ali koja lepo utice na duzinu clanka):
Pojedini maliciozni programi se bas tesko uklanjaju, primer Vitumonde (poznat jos kao Virtumondo, Vundo ili WinFixer) adware/trojanac. Njegov sistem za prezivljavanje se sastoji u sledecem:
- injektuje se u winlogon
- odatle se injektuje u svchost
- injektuje se u svaki program koji se startuje nakon toga
- injekcije brane fajlove na disku
- pri brisanju njegovog fajla sa diska (ukoliko AV to uspe), napravice novi sa ranodm imenom i upisace nove startup vrednosti u registry bazi
Svaki pokusaj brisanja je uzaludan zbog injekcije malware-a u winlogon proces, jer bi nasilni pokusaj dezinfekcije (sto podrazumeva zaustavljanje procesa winlogona) prouzrokovao momentalni restart sistema. Dezinfekcija iz svchost-a prouzrokuje cuveno odbrojavanje pred restart (60 sekundi) kao u slucaju zaraze Blasterom.
Sta je potrebno da bi se obrisale ovakve napasti:
Program koji ce da se pripremi da odjednom obrise sve fajlove malwarea, kao i kljuceva iz registry baze (posebni threadovi u Suspend stanju). Nakon otvaranja threadova za brisanje, program se priprema da nasilno zablokira racunar (plavi ekran).
Onda se u mikrosekundi desava sledece - program brise sve injekcije, fajlove i registry kljuceve odjednom (paralelno) i u sledecem ciklusu procesora (pre nego sto se komp resetuje zbog uznemiravanja winlogon-a) izazove blokiranje racunara. Sledi pritisak na reset dugme na kucistu racunara i 'dobrodosli u sistem bez zaraze.
Klasicni AV programi su nemocni da urade ovako nesto, posto ni jedan od njih nikada nece pokusati da blokira komp (zamislite uticaj na reputaciju AV-a). Za ovakve stvari su jedina resenja specijalni removal tools. Zanimljivost vezana konkretno za Virtumonde je da za sada ni jedna AV kompanija nije izdala efikasan removal tool, a jedini removal tool koji otklanja Virtumonde je napisao neki totalno nezavistan programer kog je moguce kontaktirati na forumu McAfee-a (cudi me da mu jos nisu ponudili posao). Koristan link: http://forums.mcafeehelp.com/viewtopic.php?t=57049
pozdrav do sledeceg clanka,
bobby
|
