Análise de memória Usando Redline

Introdução

Análise de memória tornou-se muito útil para caça e de investigação fins de malware. Redline é uma ferramenta que é utilizada para analisar as amostras recolhidas de memória do sistema host ao vivo ou um sistema remoto.

Objetivo

Neste laboratório, vamos cobrir todas as etapas para executar análise de memória usando Redline de programas maliciosos / mal-intencionados. Neste laboratório, usaremos várias amostras de memória de sistemas infectados por malware.

amostras de memória para usar em Laboratório:

  • Labs_raw.img
  • Lab.mans
  • Lab_Handles.mans
  • Lab_Hooks.mans
  • Lab_Hooks_raw.img

Além disso, o laboratório irá consistir de um CIO que pode ser utilizado directamente na secção de “Utilizar COI para automatizar o processo em Redline”.

Nota: .mans arquivos já estão carregados arquivos de várias amostras de memória.Nós estaremos usando-os diretamente no Redline para descobrir vários artefatos maliciosos. Isso também irá poupar muito tempo que as imagens de memória cru demorar para carregar.

Preparando Redline para Análise de Memória

Nesta seção, vamos olhar para fora tanto a imagem crua e arquivo .mans salvos podem ser carregados em Redline para análise.

Carregando uma imagem crua em Redline

  1. instale Redline
  2. Lançar Redline do botão Iniciar do Windows. Seguindo interface de Redline abrirá
  3. imagem de memória em bruto para, vamos ver como carregar uma imagem ‘conficker.img.’
  4. Selecione “De um arquivo de memória Guardar”.

  5. Na caixa de diálogo abaixo, navegue até o local onde a imagem crua é salvo em sua máquina local.

  6. Clique em Avançar
  7. Na próxima tela, clique em “Editar seu script”.

  8. Selecione a caixa de seleção para cordas.

  9. Clique em OK.
  10. Especifique o nome da seção de análise ‘Infosec_Institute_Lab_Analysis’-
    e local onde os resultados da sessão de análise será armazenado.

  11. Clique em OK.
  12. Redline vai, então, preparar a sessão para análise. Confirmar a criação do nome da pasta como o nome da sessão especificado na etapa 10. carregando imagem da memória crua de será parecido com este.

    Neste ponto, o despejo de memória bruto é carregado no Redline para análise posterior.

  13. Em sucesso carregamento seguinte, a tela irá aparecer. Confirme se sobre Processos do lado esquerdo, os Módulos dos Controladores, etc, podem ser vistos.

Abrir um arquivo salvo mans

Redline salvar a análise de qualquer arquivo no formato homem. Abaixo etapas descrevem quais os passos que devem ser seguidos para abrir um ficheiro de equipa em Redline

  1. Nesta seção, vamos estar usando o arquivo Lab.mans.
  2. .mans arquivo pode ser aberto no Redline quer a partir de Redline Home page ou Redline Lançamento página. Nesta seção, vamos carregar o arquivo .mans de Home Page. No entanto, se .mans arquivo precisa ser carregado a partir de Lançamento Página executar esta etapa.

    De Lançamento página clique em “Abrir Análise Anterior” e localize o arquivo a ser carregado no sistema os .mans.

    Clique aqui para baixar os arquivos associados a este artigo: https://drive.google.com/folderview?id=0B4V9rO4-QhMDMFBkRDhEU0xJX00&usp=sharing

  3. De Redline página inicial, clique em Redline Ícone no canto superior esquerdo como abaixo e clique em “Abrir uma análise salva”.

  4. Navegue até Salvo local do arquivo mans e clique em Abrir.

  5. Este processo será muito mais rápido e abaixo da tela irá aparecer depois de abrir análise salva muito parecido com o da imagem crua.

Artefatos disponíveis em Redline para análise

  1. Para esta parte, vamos continuar usando o arquivo Lab.mans carregado na seção anterior ” Abrir um arquivo mans salvo “.
  2. Depois de carregar Redline dá uma visão do que todos os artefatos podem ser analisados a partir de uma amostra de memória.

  3. Principais são:
    1. processos
      1. alças
      2. secções de memória
      3. Cordas
      4. portas

    2. Processos hierárquicos
    3. Hooks

Agora vamos começar a analisar cada um dos artefatos em Redline

Analisando Processo em Redline

  1. Clique em Processos. Ela vai mostrar todo o processo que estavam na memória quando a memória foi adquirida.

  1. Redline foi construído com assinaturas em que ele irá classificar o processo para ser malicioso e redline-lo. Na imagem acima, podemos ver que dois processos estão redlined por Redline.
  2. Redline também dá uma pontuação Índice de Risco Malware (MRI) para cada processo. Quanto maior a pontuação, mais malicioso de suas chances serão.Podemos ver que tanto o processo redlined tem pontuação de ressonância magnética de 97 e 94. Altamente suspeito.
  3. Clique em “Processos redlined” para ver apenas processos redline.
  4. Clique duas vezes em ‘svchost.exe’ redlined Processo. Ele vai abrir detalhes sobre o processo.

  1. Clique na guia de ressonância magnética na parte inferior. relatório MRI mostra-se.

  2. Ele também vai nos dizer por que ele concedeu que as pontuações de ressonância magnética para este processo. Neste diz:

  1. Há cerca de 47 por cento factores negativos associados a este processo.

Analisando conexão de rede usando Redline

Normalmente, quando um malware é injetado em um sistema, ele contata seu servidor C & C para reviver carga útil, a infectar sistemas na mesma rede, etc. Analisando a conexão de rede pode ser benéfica durante a análise de memória.

  1. Vamos continuar analisando o arquivo Lab_Handles.mans.
  2. Expandir Processos e clique em Portas.

  3. Podemos ver toda a conexão disponível em Redline enquanto a memória foi capturado.

  4. Podemos ver que ‘Sistema’, Processo PID 4 está fazendo uma conexão com 94.247.2.107 através da porta 80. É muito comum de malware para esconder a sua ligação à vista. Por que escolher a porta 80? Porque normalmente é aberto dentro das organizações e menos analisados.

  • Uma pesquisa no Google por IP 94.247.2.107 confirma que o 94.247.2.107 IP está listado com sem-fim TDSS.

Analisando strings usando Redline

Uma vez que você selecionou as cordas mais cedo durante o carregamento da imagem, podemos procurar cadeias no arquivo de memória.

  1. Vamos continuar analisando o arquivo Lab_Handles.mans.
  2. Expandir Processos e clique em Strings.
  3. Procurar ‘http: //’. Ela vai mostrar todas as cordas espalhados memória onde http: // está lá. Abaixo podemos ver que processo de 1928 Explorer.EXE conecta a 192.168.30.129 com foo do usuário e atravessa para o diretório malware. Isso parece suspeito.

Analisando alças em Redline

  1. Nesta seção, vamos analisar as alças usando arquivo Lab_Handles.mans. Siga as etapas descritas em ” Abrir um arquivo salvo mans ” seção acima para carregar o arquivo Lab_Handles.mans.
  2. Expandir processo e depois em alças.

  3. Abaixo da tela irá mostrar todos os identificadores presentes na memória enquanto ele é adquirido.

  4. Agora, há uma série de objetos associados a um objeto como arquivo alças, puxadores Directory, identificadores de registro, mutantes, etc. Na próxima etapa, vamos ver Mutant alças.
  5. Clique em alças Mutant e ele vai mostrar todos os mutantes presentes na memória.

  6. Vemos o mutante chamado _! MSFTHISTORY! _ Que é um mutante conhecido por malwares TDSS.

Analisando as secções de memória usando Redline

Em Redline, podemos analisar as seções de memória para olhar para o código injetado.

  1. Nesta seção, vamos continuar analisando arquivo Lab_Handles.mans.
  2. Expandir Processos e clique em secções de memória

  3. Vamos ver toda a seção de memória disponível na memória.
  4. Clique em “secções de memória injetados”.

  5. Abaixo podemos ver que PID 1980 é injetado.

Processos de relacionamento -Criança Parent

Em Redline, podemos ver a relação processos pai-filho. Isso é benéfico ao analisar o processo para ver qual processo foi gerado a partir de quem e também dá uma indicação sobre quando uma inicialização do sistema.

  1. Clique sobre os processos hierárquicos no lado da mão esquerda.

  2. Como podemos ver abaixo é nos mostrou como a relação pai-filho entre os processos.

Analisando Hooks usando Redline

Malware normalmente ganchos artefatos do kernel como tabela de descritor de serviços (SSDT), IDT, IRP para assumir o controle mais amplo sobre o sistema. Nesta seção, vamos ver como Redline pode ser usado para analisar essas seções.

  1. Nesta seção, usaremos arquivo LAB_Hooks.mans. Siga as etapas descritas em “Abrir um arquivo salvo mans ” seção acima para carregar o arquivo LAB_Hooks.mans.
  2. Clique em Hooks.

  3. Abaixo da tela mostra todos os ganchos para esta imagem de memória.

  4. Nós podemos filtrá-la com um tipo específico de gancho como SSDT, IDT, gancho IRP.
  5. Clique na SSDT Hooks.

    Note-se que embora Redline dá o status de confiabilidade “Indeterminado”, é altamente suspeito de ter um motorista chamado burito24b1-1710.sys em um sistema.

  6. A Google procura em burito24b1-1710.sys revela que já foi submetido a malwr.com

    Usando 3 rd parte ferramentas aumenta muito a análise de memória.

  7. Clique em ganchos de IRP para ver o que os drivers do sistema ter sido viciado.

  1. Aqui podemos ver que burito24b1-1710.sys tem tcpip.sys em forma de gancho.