本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第8章8.6节犯罪软件/分析检测系统,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。
8.6 犯罪软件/分析检测系统
请君入瓮——APT攻防指南之兵不厌诈
现在,您已经使用本章前面提到的一些预防措施,并按照我们刚刚讨论的方法定期检查自己的防御装置,但黑客无孔不入。您花费巨大精力抵抗的是那些处心积虑破坏您的防御体系,扰乱您的完美计划,并窃取您最有价值信息的“网络恶魔”。嗯,这是某种恶性本质使然。已经发生的事情,就有可能再次发生。接下来发生的一切,以及如何从攻击事件中汲取教训,将有助于定义安全的未来趋势。
要想从发生的事件中真正获益,您应该花一些时间来评估这些攻击事件,掌握攻击者使用的工具并确定他们的攻击方法,进而吸取经验教训更好地应对未来的攻击。为了把握这一点,需要掌握一些常用的调查取证工具。本节,我们将提供这类工具和一些概念的简介。但这并不全面,您可借助一些专注相关主题的书籍,它们将会引领您找到正确的研究方向。
8.6.1 您的机器发生了什么事情
为了弄清楚到底发生了什么事情,您可以雇佣那些精通数字取证的人员。这可能涉及无损拷贝、主机内存资料转储、攻击者遗留证据分析。全面分析日志文件,可以帮助您确定攻击者是如何入侵机器并执行了哪些操作。表8-8给出的两个工具(一个商业版本和一个开源版本)均可以帮助您完成分析任务。
上述工具的使用方式如下。
EnCase:这是一款基于Windows平台的商业工具,被广泛用于数字取证领域。它有助于从硬盘或者内存收集数据,从多种源头分析数据,执行一些普通的自动化分析任务,并基于其分析内容生成高质量的分析报告。可以在www.guidancesoftware.com/找到更多关于该工具的使用信息。
The Sleuth Kit:这是一个开源的跨平台的命令行工具,可以用于收集和分析来自多文件系统的文件。不要被“命令行”这几个字吓倒,您可以下载一个名为Autopsy的浏览器,借助其优秀的图形化界面进行数据分析。可以访问www.sleuthkit.org/index.php网站下载上述两个工具。
8.6.2 这些恶意软件做了什么
现在到了真相大白的时候了!您发现某一恶意软件,并且认定这将成为进入您网络的恶意入口。上一节中提到的数据取证工具可以帮您发现它是如何在机器上运行的。然而,现在您想确定它对被感染主机执行了哪些操作。该恶意软件是否通过本地网络与其他外网机器通信?它是否从您的网络中获取信息?这是一门艺术,有不同的方法来确认您在寻找的答案(如静态分析和动态分析),表8-9列出的工具可以帮助您的团队进行深入研究。
这些工具的使用方式如下。
IDA Pro:该工具应用广泛并且适用于多平台,较老的版本是免费的,新版本需要付费购买才可使用。该工具具有交互式界面,可以逆向分析恶意软件,逐行跟踪,来确定软件的真正用途。您可以通过www.hex-rays.com/idapro/页面下载。
OllyDbg:这是一款基于Windows平台的工具,可以协助您检查网络中存在的臭名昭著的恶意软件。如需了解更多信息或下载该软件,请登录www.ollydbg.de/。
Strings这是一款恶意软件分析辅助工具。虽然并不复杂,但它不能像前面提到的工具一样进行逐行分析。当使用该工具加载恶意软件时,它可以提取(大部分)人类可读的字符串文件。当读到这里,您可能觉得这个工具没有多大用处。可是想象一下,如果恶意软件的作者把相关的电子邮箱地址、网站或用于通信的URL链接写入该恶意软件,情况会怎样呢?该工具操作起来很简单,但却能提供丰富的信息。可以通过输入“-help,—help,/?”命令查看说明文档,以此掌握该工具的更多信息;通用帮助选项可以显示如何访问说明文档。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
