PMAT-Reise – 2

Dec 05 2022

Beim letzten Update war ich zu 21 % durch den Kurs und hatte noch keine Analyse der Malware-Samples im Labor begonnen. Ich bin zu 47 % fertig und habe noch mehrere Module vor mir.

Beim letzten Update war ich zu 21 % durch den Kurs und hatte noch keine Analyse der Malware-Samples im Labor begonnen. Ich bin zu 47 % fertig und habe noch mehrere Module vor mir. Ich habe die grundlegende statische Analyse abgeschlossen und mit der grundlegenden dynamischen Analyse begonnen . Lassen Sie uns diese Begriffe aufschlüsseln.

Bei der statischen Analyse wird Malware analysiert, ohne sie auszuführen. Während die dynamische Analyse Malware analysiert, während das Beispiel ausgeführt wird. Aus diesem Grund ist es so wichtig, sicherzustellen, dass Ihre Laborumgebung vom Internet und Ihrem Host-Computer gesperrt ist. Du nichtmöchten, dass das Malware-Sample aus mehreren Gründen Ihren Host oder das Internet berührt, z. Aus diesem Grund hat Matt viel Zeit und Konzentration darauf verwendet, sicherzustellen, dass Sie sicher sind, wenn Sie während dieses Kurses und darüber hinaus Malware zur Explosion bringen. Er verbringt auch Zeit damit, Industriestandards für den sicheren Umgang mit Malware als Analyse, sichere Quellen für Malware-Samples und die Gewährleistung, dass Sie Ihr Malware-Sample entgiftet halten, bis Sie bereit sind, Ihre Malware zu fangen, zu diskutieren.

Nebenbei bemerkt, ich persönlich lache immer noch über die Begriffe defang und fang und das liegt wahrscheinlich daran, dass es mich an meine albernen Windhunde und ihre Zähne erinnert. Siehe unten.

Die Reißzähne von Frank Reynolds.

Die Lektion Basic Static Analysis führt Sie durch verschiedene Themen, darunter Hashing-Beispiele, Überprüfung von Malware-Repositories, Verwendung von Strings und FLOSS, PEview und PEStudio. Darüber hinaus stellt Matt sicher, dass Sie ein wenig zusätzliches Wissen haben, um das „Warum“ hinter dem, was Sie tun, zu verstehen. Ich schätze dies ohne Ende, da ich sicher bin, dass andere es tun werden, während sie den Kurs machen. Damit geht er auf einige grundlegende Erklärungen der Windows-API (Application Programming Interface) sowie auf die Verwendung von PEview ein, um Malware gründlicher zu charakterisieren. Matt erläutert beispielsweise, wie wichtig es ist, sich bestimmte Header in PEview anzusehen, um Ihnen als Analyst zu helfen, festzustellen, ob möglicherweise Malware gepackt ist. Malware-Packing ist eine Technik, die Malware-Autoren verwenden können, um zu verschleiern odereine ausführbare Datei zu verschleiern , um die Erkennung von AV (Antivirus) zu vermeiden.

Unten habe ich einen Screenshot von meiner VM eingefügt. Ich habe einen Teil des Textes geschwärzt und ausgegraut. Einige der „Beispiele“ in diesem Kurs wurden von Matt geschrieben, um Malware nachzuahmen. Ich möchte also weder A) sein Material vermarkten noch B) den Spaß am Erkunden im Kurs verschenken. Die hervorgehobenen Bits, die virtuelle Größe und die Größe der Rohdaten sind Teile des Puzzles bei der Malware-Analyse, um festzustellen, ob die Malware-Probe gepackt ist.

PEAnsichtsanalyse der Probe im Kurs.

Einige andere Teile des Kurses, die mir die Augen geöffnet haben, verwenden die IMPORT_Address_Table in PEview. Dies ist ein weiteres Beispiel dafür, wie Matt Ihnen mehr über das „Warum“ hinter einer Aufgabe vermittelt. Das IAT kann verwendet werden, um Informationen über API-Aufrufe zu sammeln und diese Informationen mit anderen IOCs (Indicators of Compromise) zu korrelieren, um ein größeres Bild davon zu zeichnen, was passiert. Keine Sorge, es wird auch ausführlich erklärt.

Ich persönlich empfehle, sich kurz die Notizübersicht am Ende des Moduls „Grundlegende statische Analyse“ anzusehen , um zu sehen, wie Matt sich Notizen macht, bevor Sie beginnen. Er verwendet Microsoft OneNote, aber wenn Ihnen dies nicht zur Verfügung steht, reicht eine Textverarbeitung mit der Fähigkeit, Screenshots zu speichern. Sie müssen im Moment nicht verstehen, wovon er spricht. Machen Sie sich einfach ein Bild davon, wie er Notizen macht, damit Sie sich Notizen machen können, während Sie durch das Modul gehen.

Schließlich hat Matt seit der ersten Veröffentlichung des Kurses einige Aktualisierungen hinzugefügt. Am 28.11.21 fügte er Informationen über eine großartige Ressource und deren Verwendung hinzu, MalAPI.io von mrd0x. Auf diese Weise können Sie erkennen, welche Windows-APIs häufig in Malware missbraucht werden. Außerdem wurde am 19.11.22 ein neueres Update veröffentlicht, in dem ein Tool namens Capa von Mandiant diskutiert wurde. Capa ist ein Monster für sich und lässt sich auf Frameworks wie MITRE ATT&CK und den Industriestandard zur Definition von Taktiken, Techniken und Verfahren (TTPs) und den Malware Behavioral Catalog oder MBC abbilden.

Oh, und habe ich schon erwähnt, dass Matt Kiely heute das Advent of Cyber 2022-Event auf TryHackMe moderiert, und es gibt ein passendes Weihnachtslied. Ich werde das überprüfen, nachdem ich dies gepostet habe.