5.Поищем в журнале INetSim запросы и попытки подключения к стандартным службам. Первая же строка журнала (показанная ниже) говорит нам о том, что вредонос обращается к порту 443, но не через стандартный защищенный сокет

(secure sockets layer, SSL), что приводит к ошибке .

[2010-X] [15013] [https 443/tcp 15199] [192.168.117.128:1043] connect [2010-X] [15013] [https 443/tcp 15199] [192.168.117.128:1043]

Error setting up SSL: SSL accept attempt failed with unknown error Error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol [2010-X] [15013] [https 443/tcp 15199] [192.168.117.128:1043] disconnect

6.Заглянем в вывод Wireshark, чтобы найти сетевой трафик, сгенерированный вредоносом. Если использовать Wireshark в связке с INetSim, можно обнаружить подтверждение подключения в TCP-соединении и начальные пакеты данных, посланные вредоносным кодом. Как видно на рис. 3.16, содержимое TCP-потока, проходящего через порт 443, представляет собой непонятные данные в формате ASCII, что часто свидетельствует о нестандартном протоколе. В таких случаях лучшее, что вы можете сделать, — это запустить вредоносную программу еще несколько раз и попытаться уловить какую-либо закономерность в пакетах, передающихся в начале соединения (итоговая информация может пригодиться для создания сетевой сигнатуры — эту методику мы изучим в главе 14).

Рис. 3.16. Wireshark показывает нестандартный сетевой протокол

Итоги главы

Базовый динамический анализ вредоносного ПО может дополнить и подтвердить сведения, обнаруженные с помощью базовой статической методики. Однако у него имеются свои недостатки, поэтому мы не станем на нем останавливаться. Например, для понимания в полной мере сетевого аспекта вредоноса msts.exe нам придется разобрать его протокол, чтобы определиться с тем, как лучше всего продолжить анализ. Следующим шагом будет использование усовершенствованных статических методик с дизассемблированием и препарированием файла на двоичном уровне. Об этом и пойдет речь в предстоящей главе.

Лабораторные работы

Лабораторная работа 3.1

Проанализируйте вредоносный код в файле Lab03-01.exe, используя инструменты для динамического анализа.

Вопросы

1.Какие строки и импорты функций содержит этот вредонос?

2.Какими локальными индикаторами он обладает?

3.Существуют ли какие-либо сетевые сигнатуры, подходящие для этого вредоноса? Если да, то какие?

Лабораторная работа 3.2

Проанализируйте вредоносный код в файле Lab03-02.exe, используя инструменты для динамического анализа.

Вопросы

1.Как сделать так, чтобы данный вредонос себя установил?

2.Как позволить этому вредоносу запуститься после установки?

3.Как найти процесс, в котором он выполняется?

4.Какие фильтры можно установить в procmon, чтобы извлечь нужную информацию?

5.Какими локальными индикаторами обладает вредонос?

6.Существуют ли для него какие-либо подходящие сетевые сигнатуры?

Лабораторная работа 3.3

Запустите вредоносный файл Lab03-03.exe и отследите его работу с помощью инструментов для базового динамического анализа в безопасной среде.

Вопросы

1.Что можно заметить при мониторинге этого вредоноса с помощью Process Explorer?

2.Можете ли вы обнаружить какие-либо динамические изменения в памяти?

3.Какими локальными индикаторами обладает вредонос?

4.Для чего он предназначен?

Лабораторная работа 3.4

Проанализируйте вредоносный код в файле Lab03-04.exe, используя инструменты для динамического анализа (мы продолжим исследование этой программы в лабораторных работах к главе 9).

Вопросы

1.Что произойдет, когда вы запустите этот файл?

2.Что препятствует динамическому анализу?

3.Есть ли какие-то другие способы запустить эту программу?

Часть II Продвинутый статический анализ