tools - Bites, Bytes and my 5 cents

Weitere Magazine

Empfehlungen

Info

TOOLSVon der Handarbeit zum FließbandDie generelle Idee hinter Minibis ist es also, die manuellenAktivitäten eines Malware-Analysten nachzuahmen.Dabei wird aber erst bei näherer Betrachtungklar, dass man es hierbei früher oder später mit einemSynchronisations- und Kommunikationsproblemzu tun bekommen wird. Der Malware-Analyst bedienteinfach beide Seiten, Researcher und Proband. AusSicht der Software handelt es sich hierbei allerdingsum zwei absolut getrennte, ja sogar isolierte Systeme.Minibis löst dieses Problem durch den Einsatz einerautonom agierenden Software auf dem Researcher(CPR, minibis-cpr) und dem Proband (CPP, minibis-cpp).Der Kommunikationsfluss zwischen den beiden wirddabei über das altbewährte FTP-Protokoll mittels Dateienrealisiert.Wie die Abbildung 2 zeigt, wird ein Sample in den Probandtransferiert, in diesem ausgeführt und alle Aufzeichnungender Systemaktivitäten zurücktransferiert. Bei mehrerenSamples wird dieser Ablauf natürlich analog solangewiederholt, bis alle Samples abgearbeitet wurden.Abbildung 3. Die Minibis-GUI.Abbildung 4. Allgemeine Einstellungen.3411/2010
Minibis. Eine automatisierte Malware-Analyseumgebung geht in die 2.1. Runde.EvolutionUpdate für Update wurde bei Minibis immer mehrdas Ziel verfolgt, maximale Benutzerdefinierbarkeitzu erreichen, um es für beliebige Analyse-Szenarieneinsetzen zu können. Trotzdem sollte Minibis für dendurchschnittlich begabten IT-Security Specialist verwendbarbleiben. Dieser Spagat zwischen absoluterFreiheit und „Plug-And-Play“ wurde durch eine entsprechendumfangreiche Pre-Konfiguration erreicht,die, für sich gesehen, bereits den meisten Ansprüchengenügen, aber auch eine aussagekräftige exemplarischeErweiterungsbasis für „Tüftler“ bieten sollte.Minibis per DefaultInstalliert man Minibis analog der auf CERT.at’s Websiteenthaltenen Anleitung, ist es im Stande alle „üblichen“Prozessaktivitäten im Proband aufzuzeichnen.Erreicht wird dies durch die Verwendung zweier klassischer,frei erhältlicher Tools, nämlich Windump undProcmon (Process Monitor von Sysinternals). Darüberhinaus ist auch ein Screenshot-Utility an Board,das den letzten visuellen Zustand des Probandenfesthält.Als Samples können die klassischen Windows Executables(PE) wie .exe und .dll Dateien, aber auch ApplikationsbezogeneDateien wie zum Beispiel Flash-Dateien (.swf) Acrobat Reader Dokumente (.pdf)verwendet werden. Darüber hinaus kann außerdem dieAusführung von JavaScript-Code (.js), aber auch (derBesuch von) URLs selbst aufgezeichnet werden.Tischlein deck dich – Minibis FeaturesKommen wir aber nun zur Leistungsschau von Minibis.Folgende Features werden geboten:• Voll automatisiertes Aufzeichnen von Systemaktivitäteneines oder mehrerer Samples innerhalb einervirtuellen Maschine (beliebig erweiterbar).• Frei wählbare Virtualisierungslösung.• Benutzerdefiniertes Scripting (Bash) des Researcher(VM-Host) anhand der Event-Trigger• „Vor dem Start des Proband (VM-Guest)“,• „Während der Proband läuft (periodisch)“ sowie• „Nach dem Stopp des Proband (vor oder nachdem Zippen der Aufzeichnungen)“.• Benutzerdefiniertes Scripting (Batch) des Proband(VM-Guest) anhand der Event-Trigger• „Vor dem Start des Samples“ und• „Nach dem Stopp des Samples“.• Benutzerdefinierbare Sampletypen (die wichtigstensind als Beispiel bereits vorkonfiguriert).Abbildung 6. Proband Scripting.hakin9.org/de 35
Seite 4: 11/2010INHALTSVERZEICHNISFÜR EINST
Seite 7 und 8: Passwort Cracking - Angriff- und Ab
Seite 9 und 10: Tabelle 1. Änliche ZahlenBuchstabe
Seite 11 und 12: Auf der Suche nach Einheitlichkeitm
Seite 13 und 14: Einfachsichersurfen.Abstand schafft
Seite 15 und 16: Der neue Personalausweis (nPA) - R
Seite 21 und 22: Kammerkonzert im Großen Saal - IT
Seite 23 und 24: 2010www.sigs-datacom.deKontakt: Anj
Seite 25: Kammerkonzert im Großen Saal - IT
Seite 29 und 30: Potenzial für De-Mail zur rechtsve
Seite 31 und 32: Minibis. Eine automatisierte Malwar
Seite 33: Minibis. Eine automatisierte Malwar
Seite 37 und 38: Minibis. Eine automatisierte Malwar
Seite 39 und 40: 12-11-2010Die IT-Security Community
Seite 41 und 42: RSMangler - Einstieg in Wortlisten
Seite 43: RSMangler - Einstieg in Wortlisten
Seite 46 und 47: die Time-to-market, steigern die Fl
Seite 48 und 49: Recommended CompaniesMabuntaDie mab

tools - Bites, Bytes and my 5 cents

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?