Information Security
Comments 26
+3
Это очень круто. Положил в закладки, что-то мне подсказывает, что рано или поздно этот гайд спасет меня.
Спасибо огромное.
0
Получается, что надо куда то постоянно отправлять свои файлы для проверки? Это же утечка информации?
0
Вы прочитали статью до конца?
В том то и дело, если отправлять на Malwr или Anubis или тот-же Virustotal то по сути это утечка и с точки зрения утверждённых регламентов ИБ неприемлемо. Но когда с нуля поднимаешь свой сервис и конфигурируешь доступ к сервису только со своей сети — утечкой это не является, хост с песочницей становится по сути частью инфраструктуры организации, для большей уверенности на хост можно поставить OSSEC, например воспользовавшись материалом, предоставленным Neuronix или-же данным мануалом от Traveler и отправлять логи OSSEC в используемую в организации SIEM систему, такой подход к решению данной задачи будет комплексным и вполне приемлемым.
0
Прочитал, но сразу не понял :-)Спасибо!
Еще вопрос — замеряли производительность системы? Сколько может обрабатывать файлов в минуту?

Хотелось бы сделать так чтобы все перемещающиеся в компании файлы проходили через песочницу. Или, автоматизировать проверку всех файлов, передаваемых пользователями нашей системы друг другу через нашу систему.
0
На VPS Digitalocean, упомянутой в начале статьи файл анализируется минут 8-10, это с дампом памяти, если без, то пара минут, а насчёт проверки вложений, вот вам скрипт за основу, который атачи выгружает, можно его под себя адаптировать, а файлы локально проверять по крону в песочнице например
+1
Считать файл безопасным если эта система (да и любая другая автоматическая) сказала что он чист — нельзя.
Ручной анализ даст более правильную картину.
+1
Вы абсолютно правы, но лишь в том случае, если специалист имеет достаточное количество знаний в этой узкопрофильной области, чтобы провести грамотный ручной анализ файла.
0
А если не имеет ему и песочница не поможет, если троян не совсем дурной.
0
Тут Вы тоже абсолютно правы, например просканировал в песочнице бинарник вируса BetaBot, слитого в сеть с контрольной панелью и взломанного неким исследователем с ником Xylit0l. При запуске в обычном режиме Userland вирус ничего подозрительного особо не делает, смотрит некоторые ключи реестра, но песочница считает файл «чистым», не считая только отчёта из virustotal:
Картинка
image

А если запустить с драйвером zer0m0n, то появляется гораздо больше процессов и анализ вместе с песочницей полностью подвисает после запуска процесса dfrgntfs.exe
Картинка
image

К сожалению мои познания в этой области пока-что малы и не позволяют мне проанализировать файл вручную.
Буду вам крайне признателен, если порекомендуете хорошую литературу по этой теме :)
0
ПО вручную, с помощью песочниц и разных утилит, но самым простым и быстрым из всех способов проанализировать вирус оказался malwr.com – сервис автоматического анализа файла в песочнице.


Стоит отметить ещё такой сервис, как Анубис. Пример отчёта о сканировании в PDF
0
Кстати да, тоже им пользуюсь. Удобная штука, если есть сомнения в результатах проверки на VirusTotal.
+2
Собственно, по быстренькому (без длительных очередей) посмотреть, что делает исполняемый модуль можно и через вирустотал, в закладке Поведение.
+1
Интересно было бы почитать еще обзор самого вредоноса.
+1
Статью написал за сутки, из них полдня составлял и обкатывал скрипт. Собрал сервис за выходные, а потом в течении месяца после работы допиливал некоторые косячки и проблемы. Изначально это был мини гайд для коллег, а после вспомнил, что на хабре не нашёл инфы и решил поделиться со всеми, да и наконец пришло время получить инвайт :)
0
так я в течении месяца пометки делал по установке, а скомпоновал за день :)
+5
Чёрт возьми, вот это классно. Думаю, придётся как-нибудь собрать такую штуку на отдельной машине =)
Сразу вспомнилось это:

image
0
А не могли бы вы заодно поделиться готовым образом DO? Насколько я помню у них с некоторых пор появилась такая возможность.

Благодарю.
0
Или можете спросить мой образ у хабраюзера PocketSam

Спрашиваю. Можете поделиться?
0
Присоединяюсь к вышеупомянутой просьбе. Поделитесь, пожалуйста, образом подготовленной ВМ в любом удобном для Вас формате.
0
я его к сожалению уже удалил, а на рабочей песочнице уже поднято много других сервисов и она уже содержит в себе много внутренней информации. Создайте новый VPS, запустите готовый скрипт и через 15 минут, максимум час вам лишь нужно будет выполнить несложную установку Windows с последующей установкой софта, работать должно, я с нуля своим полуавтоматическим методом собрал песочницу за 2 часа (в т.ч. 40 минут установка винды и 20 минут выгрузка базы с clamav со скоростью 2-8 кб/c)
Или можете спросить мой образ у хабраюзера PocketSam
Only those users with full accounts are able to leave comments.  , please.