Viaggio PMAT — 2

Dec 05 2022

Nell'ultimo aggiornamento avevo completato il corso al 21% e non avevo iniziato alcuna analisi sui campioni di malware in laboratorio. Sono al 47% completo con diversi moduli da completare.

Nell'ultimo aggiornamento avevo completato il corso al 21% e non avevo iniziato alcuna analisi sui campioni di malware in laboratorio. Sono al 47% completo con diversi moduli da completare. Ho completato l'analisi statica di base e ho iniziato l'analisi dinamica di base . Analizziamo questi termini.

L'analisi statica sta analizzando il malware senza eseguirlo. Mentre l'analisi dinamica analizza il malware durante l'esecuzione del campione. Questo è il motivo per cui è così imperativo garantire che l'ambiente di laboratorio sia bloccato da Internet e dal computer host. Tu nodesidera che il campione di malware tocchi il tuo host né Internet per diversi motivi, ad esempio per non infettare il tuo computer host e per non scaricare effettivamente nulla di dannoso da un server C2 (Command and Control). Questo è il motivo per cui Matt ha dedicato molto tempo e attenzione per assicurarsi che tu sia al sicuro quando fai esplodere malware durante questo corso e oltre. Trascorre anche del tempo discutendo gli standard del settore sulla gestione sicura del malware come analisi, fonti sicure per i campioni di malware e assicurandoti di mantenere il tuo campione di malware protetto fino a quando non sei deliberatamente pronto a distruggere il tuo malware.

In una nota a margine, personalmente rido ancora con i termini defang e fang ed è probabilmente perché mi ricorda i miei goffi levrieri e i loro denti. Vedi sotto.

Le zanne di Frank Reynolds.

La lezione sull'analisi statica di base ti guida attraverso diversi argomenti tra cui esempi di hashing, controllo di repository di malware, utilizzo di stringhe e FLOSS, PEview e PEStudio. Oltre a ciò, Matt ti assicura di avere un po' di conoscenza in più per capire il "perché" dietro quello che stai facendo. Lo apprezzo senza fine come sono sicuro che altri lo faranno durante il corso. Con ciò copre alcune spiegazioni di base dell'API di Windows (Application Programming Interface) e approfondimenti su come utilizzare PEview per caratterizzare il malware in modo più approfondito. Ad esempio, Matt discute l'importanza di esaminare intestazioni specifiche in PEview per aiutarti, come analista, a determinare se il malware potrebbe essere impacchettato. Il confezionamento di malware è una tecnica che gli autori di malware possono utilizzare per mascherare ooffuscare un eseguibile per evitare il rilevamento AV (anti-virus).

Di seguito ho incluso uno screenshot dalla mia VM. Ho oscurato e oscurato parte del testo. Alcuni dei "campioni" in questo corso sono scritti da Matt per imitare il malware. Quindi, non voglio A) plagerizzare il suo materiale né B) dare via il divertimento dell'esplorazione nel corso. I bit evidenziati, la dimensione virtuale e la dimensione dei dati grezzi sono parti del puzzle nell'analisi del malware per aiutare a determinare se il campione di malware è compresso.

PEvisualizzare l'analisi del campione in corso.

Alcune altre parti del corso che mi hanno aperto gli occhi sono l'utilizzo di IMPORT_Address_Table in PEview. Questo è ancora un altro esempio di come Matt ti dia più del "perché" dietro un'attività. Lo IAT può essere utilizzato per raccogliere informazioni sulle chiamate API e correlare tali informazioni con altri IOC (indicatori di compromissione) per dipingere un quadro più ampio di ciò che sta accadendo. Non ti preoccupare, sarà anche spiegato a fondo.

Personalmente consiglio di dare un'occhiata veloce alla revisione degli appunti alla fine del modulo Analisi statica di base per vedere come Matt prende appunti prima di iniziare. Usa Microsoft OneNote ma se questo non è disponibile per te, sarà sufficiente un elaboratore di testi con la capacità di contenere schermate. Non hai bisogno di capire di cosa sta parlando in questo momento. Fatti un'idea di come prende appunti in modo da poter prendere appunti mentre procedi nel modulo.

Infine, Matt ha aggiunto alcuni aggiornamenti rispetto al rilascio iniziale del corso. Il 28/11/21 ha aggiunto informazioni su una grande risorsa e su come usarla, MalAPI.io di mrd0x. Questo ti aiuta a identificare quali API di Windows sono comunemente oggetto di abuso nel malware. Inoltre, il 19/11/22 è stato effettuato un aggiornamento più recente che discuteva di uno strumento chiamato Capa di Mandiant. Capa è una bestia a sé stante e si associa a framework come MITRE ATT&CK e standard di settore sulla definizione di tattiche, tecniche e procedure (TTP) e Malware Behavioral Catalog o MBC.

Oh, e l'ho già detto, Matt Kiely ospita oggi l'evento Advent of Cyber 2022 su TryHackMe e c'è un canto natalizio da seguire. Lo controllerò dopo aver pubblicato questo.