Как установить и использовать инструмент для анализа памяти Volatility
На этой странице
- Поддержка формата памяти
- Проверка целостности
- MalwareBytes
Одной из важных частей анализа вредоносных программ является анализ оперативной памяти (ОЗУ). Это помогает идентифицировать запущенные вредоносные процессы, сетевую активность, открытые соединения и т. д. в скомпрометированной системе. Эта статья об инструменте безопасности с открытым исходным кодом «Волатильность» для анализа энергозависимой памяти. Его можно использовать для анализа оперативной памяти как 32-, так и 64-разрядных систем, а также он поддерживает анализ систем Windows, Linux, Mac и Android. Volatility Framework реализован на языке сценариев Python и может быть легко использован в операционных системах Linux и Windows. Он используется для анализа аварийных дампов, необработанных дампов, дампов VMware и VirtualBox. Методы извлечения выполняются полностью независимо от исследуемой системы и дают полное представление о состоянии системы во время выполнения. Итак, эта статья посвящена криминалистическому анализу дампа оперативной памяти с использованием инструмента нестабильности. Плагин изменчивости «malfind» помогает сделать дамп вредоносного процесса и проанализировать его. Другим плагином изменчивости является «cmdscan», который также используется для вывода списка последних команд на скомпрометированной машине. В этом судебном расследовании для проверки результатов будут использоваться онлайн-ресурсы, такие как «virustotal» и «payload security». В конце концов, для сканирования вредоносных программ будут использоваться Защитник Windows и Malware Bytes.
Поддержка формата памяти
- Необработанная/заполненная физическая память
- Firewire (IEEE 1394)
- Свидетель-эксперт (EWF)
- Дамп сбоя 32- и 64-разрядной версии Windows
- Спящий режим 32- и 64-разрядной версии Windows
- 32- и 64-битные файлы MachO
- Основные дампы Virtualbox
- Сохраненное состояние VMware (.vmss) и моментальный снимок (.vmsn)
- Формат HPAK (FastDump)
- Дампы памяти QEMU
Установка
Инструмент Volatility доступен для операционных систем Windows, Linux и Mac. Для ОС Windows и Mac доступны отдельные исполняемые файлы, которые можно установить в Ubuntu 16.04 LTS с помощью следующей команды.
apt-get install volatility
Анализ памяти
В этом руководстве судебный анализ необработанного дампа памяти будет выполняться на платформе Windows с использованием автономного исполняемого файла инструмента Volatility. Нередко в процессе расследования судебный эксперт может обнаружить на скомпрометированном жестком диске несколько вредоносных программ. Таким образом, анализ памяти становится очень важным в таких случаях, поскольку на скомпрометированной системе может работать вредоносная программа или вредоносное ПО.
Проверка целостности
Хэш MD5 дампа памяти вредоносной системы приведен ниже. Он рассчитан для проверки полученного изображения перед началом криминалистического анализа.
MD5: ee043142485a83f4d49a3a7899408500
Анализ волатильности
Инструмент Volatility используется для определения того, заражен ли компьютер или нет. Как известно, вредоносная программа может быть извлечена из запущенных процессов из дампа памяти. Итак, прежде всего, необходимо определить поддерживаемые «профили» для образа с дампом памяти. Как показано ниже, следующая команда используется для определения «профилей» для образа.
"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" imageinfo -f memdump3.raw
Итак, следующие два профиля предлагаются командой \imageinfo.
Win7SP0x86 , Win7SP1x86
Теперь указанная ниже команда используется для получения списка запущенных процессов в дампе памяти.
"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 pslist -f memdump3.raw
часть-1
часть 2
Подключаемый модуль «pslist» для инструмента изменения волатильности показывает процессы в дампе памяти. Как показано в приведенном выше выводе, несколько программ, таких как «0KqEC12.exe» и «rdpclip.exe», являются новыми для ОС Windows. Они могут могут быть вредоносными или новыми приложениями для ОС Windows. Точно так же несколько программ \iexplore.exe также кажутся подозрительными.
Итак, целью следующей команды является отображение процессов в формате дерева (родительский/дочерний). Это покажет связь процесса с родительским процессом. Это поможет нам идентифицировать родительский процесс вредоносной программы.
"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 pstree -f memdump3.raw
часть-1
часть 2
Как показано в приведенном выше выводе подключаемого модуля \pstree инструмента Volatility, процессы отображаются с их PID и PPID. Мы выделили вредоносные программы для дальнейшего изучения машины-жертвы. Теперь подключаемый модуль \malfind (который используется для обнаружения вредоносных DLL в процессе) Volatility будет использоваться против выделенных процессов.
Идентификатор процесса: 1120 (svchost.exe)
Следующая команда с переключателем malfind используется для создания дампа вредоносных библиотек DLL в выходной каталог.
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 malfind -D E:\output/pid-1120 -p 1120 -f memdump3.raw
Как показано ниже, подключаемый модуль malfind не находит dll.
Идентификатор процесса: 1788 (rdpclip.exe)
Снова запустите ту же команду с PID 1788, чтобы извлечь DLL процесса. Однако подключаемый модуль не находит DLL.
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 malfind -D E:\output/pid-1788 -p 1788 -f memdump3.raw
Идентификатор процесса: 2104 (explorer.exe)
Как показано ниже, следующая команда запускается с PID «2104», и программа malfind извлекает библиотеки DLL из процесса.
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 malfind -D E:\output/pid-2104 -p 2104 -f memdump3.raw
Вывод плагина malfind показывает дамп извлеченных DLL вредоносного процесса.
Идентификатор процесса: 2240 (0kqEC12.exe)
Плагин malfind работает с PID «2240», что кажется подозрительным для ОС Windows.
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 malfind -D E:\output/pid-2240 -p 2240 -f memdump3.raw
Вывод плагина malfind для PID «2240» показан ниже.
Идентификатор процесса: 2840 (iexplore.exe)
Вывод инструмента Volatility для PID «2840» показан ниже.
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 malfind -D E:\output/pid-2840 -p 2840 -f memdump3.raw
Этот процесс также кажется вредоносным, потому что он также использует то же имя, что и процесс Windows «iexplorer».
Идентификатор процесса: 2364 (iexplore.exe)
Аналогично, malfind запускается против вредоносной программы «iexplore» с PID «2364».
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 malfind -D E:\output/pid-2364 -p 2364 -f memdump3.raw
Дамп malfind по PID 2364 показан ниже.
Идентификатор процесса: 3728 (iexplore.exe)
Как показано ниже, подключаемый модуль изменчивости для создания дампа вредоносной программы запускается с идентификатором PID «3728».
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 malfind -D E:\output/pid-3728 -p 3728 -f memdump3.raw
На следующем снимке показан дамп плагина malfind для PID \3728.
Результаты сканирования
Дампы вредоносных программ сканируются с помощью защитника Windows и Malware bytes.
Защитник Windows
Результат сканирования Защитника Windows показан ниже и идентифицирован как \Trojan:Win32/EyeStye.N & \Trojan: Win32/EyeStye.plugin
Подробная информация о троянцах приведена ниже.
Этот троянец регистрирует нажатия клавиш, отслеживает активность в Интернете и крадет определенные учетные данные для входа в систему, а затем отправляет захваченные данные удаленному злоумышленнику для получения финансовой выгоды. Он может загружать дополнительные вредоносные программы, снижать безопасность веб-браузера и использовать руткит для сокрытия своей вредоносной активности [2]. Вредоносная программа использует внедрение кода, чтобы затруднить обнаружение и удаление. При выполнении \EyeStye.N он может внедрять код в запущенные процессы, такие как cmd.exe и explorer.exe.
Наш анализ показывает, что вредоносная программа внедряется в программу «explorer.exe», которая является родителем вредоносных программ «iexplore.exe».
MalwareBytes
На следующем снимке видно, что MalwareBytes также обнаружила извлеченные библиотеки DLL как вредоносные и назвала их «Trojan.Grabber».
История команд (история CMD)
Еще одним подключаемым модулем инструментов Volatility является «cmdscan», который сканирует историю команд, запущенных на машине. Результат следующей команды показывает историю команд, запущенных на скомпрометированном ПК.
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 cmdscan -f memdump3.raw
Выходные данные \cmdscan показывают, что злоумышленник выполнил несколько команд в командной строке и запустил вредоносную программу \iexplorer.exe и \ieplore.exe. Другим подозрительным, показанным в приведенном выше выводе, является \_lt112.spn. ». Его ищут на интернет-ресурсах, и результат показывает, что он связан с вредоносной программой.
файл _lt112.spn
Аналитик искал строку \_lt112.spn в Интернете и нашел ее на следующих сайтах.
Подключение к сети
Поскольку мы знаем, что сетевое подключение можно найти при анализе памяти, поэтому подключаемый модуль «netscan» запускается для образа памяти, и результат показывает, что вредоносная программа «iexplore» открыла несколько подключений на машине-жертве.
E:\>"E:\volatility_2.4.win.standalone\volatility-2.4.standalone.exe" --profile=Win7SP0x86 netscan -f memdump3.raw
Часть-1
Часть 2
Часть-3
Таким образом, детальный анализ памяти показывает, что ПК скомпрометирован вредоносной программой, которая работает как «explorer.exe» и «iexplore.exe» на машине-жертве. Это также показывает, что вредоносная программа «iexplore.exe» подключается к порту 80 с компьютера-жертвы.
использованная литература
- http://www.volatilityfoundation.org/24
- https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Trojan:Win32/EyeStye.N