tools - Bites, Bytes and my 5 cents

Weitere Magazine

Empfehlungen

Info

TOOLS• Beliebige Varianten pro Sampletyp für Vergleiche(z.B.: zwischen mehreren Browsern).• Kommandozeilen-Modus.• Beliebige Anzahl an Scan-Konfigurationen (Szenarien).• GUI für die komfortable Erstellung und Wartungvon Scan-Konfigurationen.• Intelligente Organisation (Speicherung) der retourniertenAufzeichnungen.• Voll automatisierte sowie benutzerdefinierbare(Bash-Script-Plugins) Auswertung der retourniertenAufzeichnungen.• Durchsatz: Je nach Konfiguration bis zu 1000 Samplespro Tag.• Lauffähig auf Standard-Desktop-Hardware.Pimp my MinibisWie bereits hinreichend oft erwähnt, lässt Sie Minibisüber jegliches Was, Wie, Wo und Wann frei entscheiden.Erreicht wird dies vollständig über die damit verbundeneGUI, die auf dem Researcher per minibis-guiaufgerufen wird. Mit ihrer Hilfe können Sie auch diverseunterschiedliche Konfigurationen in separaten Konfigurationsdateien– Dateien mit dem Suffix „.pref“ unter /home/user/.minibis – abspeichern. Abbildung 3 zeigtdas Management- und Status-Fenster von Minibis.Will man selbst Hand anlegen und die aktuelle Konfigurationverändern, oder vielleicht auch nur in selbigerlesen, so kann dies durch einen Klick auf den Config-Button (siehe Abbildung 3) geschehen.Das daraufhin erscheinende Konfigurations-Fensterunterteilt sich per Tabs in vier thematisch separierteTeilbereiche.General SettingsHier (Abbildung 4) treffen Sie alle Entscheidungen hinsichtlichder zu verwendenden Virtualisierungslösungsowie der Pfade für die FTP-Kommunikation und derAblage für die retournierten Aufzeichnungen. Deutlichersichtlich ist hierbei, dass die präferierte Virtualisierungs-Lösung(nach wie vor) Virtual Box ist.Researcher ScriptingHier (Abbildung 5) definieren Sie Bash-Skripte, die aufdem Researcher entsprechend ihrer Ereignis-Zugehörigkeit,ausgeführt werden.Proband ScriptingHier (Abbildung 6) werden Windows Batch-Skripte definiert,die auf dem Proband entsprechend ihrer Ereignis-Zugehörigkeit,ausgeführt werden. An dieser Stellewerden auch die vom Researcher zum Proband zuAbbildung 5. Researcher Scripting.3611/2010
Minibis. Eine automatisierte Malware-Analyseumgebung geht in die 2.1. Runde.transferierende Tools definiert und die Dateien der eigentlichenAufzeichnungen (der Systemaktivitäten), dieretourniert werden sollen.Sample-TypesSie können beliebig viele (weitere) Sampletypendefinieren (Abbildung 7). Neben dem eigentlichenBatch-Script, das letztlich für die Ausführung desSamples verantwortlich sein wird, muss mit Filterndas entsprechend passende Sample „formuliert“werden.Erwähnenswert dabei ist auch folgendes Feature:Pro Sample wird von Minibis jede aktivierte (Auswahldurch Häkchen) Sampletyp-Definition überprüft,ob diese aktuell zutreffend ist, und im positivenFalle diese zur Ausführung verwendet. Wennalso mehrere Sampletyp-Definitionen zutreffen, sowird das Sample mehrmals überprüft. Das machtdurchaus Sinn, will man zum Beispiel die Reaktionunterschiedlicher Browser auf eine „bösartige“ URLvergleichen.And the Winner isBezugnehmend auf unser eingängliches Beispiel (wirerinnern uns, „Analysiere 3000 Samples hinsichtlichAutostart-Vorlieben …“), hätten wir nach Einwurf jener3000 Samples nun eine Datenbasis, die sich aus denMitschnitten der entsprechenden Systemaktivitäten definiert.Die CSV-Varianten der Mitschnitte von Windumpund Co können jetzt mit unseren Lieblings-Kommandozeilentools,wie zum Beispiel grep für Linux-User oderfind für Windows-User (nach kurzem Vertrautmachenmit dem CSV-Format) leicht extrahiert werden. Hat manmitunter auch schon die eine oder andere Zeile Bash-Script oder Perl geschrieben, sollten auch die kompliziertestenAuswertungen keinerlei Problem darstellen.Um nur festzustellen, welche der untersuchtenSamples tatsächlich schädlich zu sein scheinen,kann man aber auch auf das von CERT.at mitgelieferte,erweiterbare Auswertungstool postminibis zurückgreifen.Da sich der Output von postminibis in seinem „Auslieferungszustand“bereits perfekt für unsere Problemstellungeignet, werden wir im folgenden nun davon Gebrauchmachen.Zunächst schauen wir uns die Ausgabe des folgendenKonsolenkommandos an:./postminibis ~/Minibis/Results/2010/11/10/120000/ |grep ";a;" | grep "registry"Abbildung 7. Sample-Typen.hakin9.org/de 37
Seite 4: 11/2010INHALTSVERZEICHNISFÜR EINST
Seite 7 und 8: Passwort Cracking - Angriff- und Ab
Seite 9 und 10: Tabelle 1. Änliche ZahlenBuchstabe
Seite 11 und 12: Auf der Suche nach Einheitlichkeitm
Seite 13 und 14: Einfachsichersurfen.Abstand schafft
Seite 15 und 16: Der neue Personalausweis (nPA) - R
Seite 21 und 22: Kammerkonzert im Großen Saal - IT
Seite 23 und 24: 2010www.sigs-datacom.deKontakt: Anj
Seite 25: Kammerkonzert im Großen Saal - IT
Seite 29 und 30: Potenzial für De-Mail zur rechtsve
Seite 31 und 32: Minibis. Eine automatisierte Malwar
Seite 33 und 34: Minibis. Eine automatisierte Malwar
Seite 35: Minibis. Eine automatisierte Malwar
Seite 39 und 40: 12-11-2010Die IT-Security Community
Seite 41 und 42: RSMangler - Einstieg in Wortlisten
Seite 43: RSMangler - Einstieg in Wortlisten
Seite 46 und 47: die Time-to-market, steigern die Fl
Seite 48 und 49: Recommended CompaniesMabuntaDie mab

tools - Bites, Bytes and my 5 cents

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?