最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 25 研究惡意程式的杜鵑 Cuckoo

XAMPP下载 文, 员 16浏览 0评论

成為別人認同的資安專家後,在公司裡常常會被問道:「這個檔案可以開嗎?」「這封郵件安全嗎?」「這個URL連結可以點擊嗎?」「這封電子賀卡可以開嗎?」假使員工資安意識教育效果良好,如Day4 和Day5分享,大家會有所警覺,主動回報可疑電子郵件,向資安團隊確認。一般可疑的電子郵件能從寄件人郵件地址和郵件主旨看出蛛絲馬跡,或從郵件 header標頭,或從郵件內容、裡面的URL連結、信末的簽名檔判斷,但總有一些可疑電子郵件是從已知的寄件者寄來,收件人也覺得剛好在等著這封信,應該可以開啟郵件附檔,或覺得URL沒問題應該點擊下去試試看。面對層出不窮的各種釣魚攻擊手法,要怎麼分辨是否為惡意程式呢?

首先我們可以將這些可疑的檔案、URL、IP等等與現有的資安威脅情資平台比對,例如 Cisco Talos、IBM X-Force Exchange、Checkpoint Threat Emulation & Threat Extraction、VIrusTotal等等,看看URL或IP是否為惡意連結,檔案是否為之前登記在案的惡意程式,甚至上傳可疑檔案讓資安威脅情資平台分析,等分析報告出來後再作定論。VirusTotal甚至有桌面上的程式和瀏覽器Extension套件,讓我們點擊右鍵選項來上傳檔案、掃描URL等,可謂十分方便。很多防毒軟體廠商也都有提供網頁讓大家上傳可疑檔案供專門的惡意程式分析員研究。

若是上傳檢索後沒有顯示結果,難道就沒問題了嗎?其實駭客也很努力創作新的惡意程式,並不一定每個惡意程式之前都有被回報,這時候可以在一個隔離的環境下,試著點擊URL或開啟檔案,看看有什麼結果。社群裡有人推薦使用Browserling這個工具。Browserling 原本是讓開發人員測試網站在不同版本、不同種類瀏覽器下有什麼效果,因為它是在一個遠端的虛擬環境下開啟瀏覽器,與本端機器試隔離的,可以想看一下點擊URL後會開啟什麼網頁。有一次我和一名用戶解釋了很久,他非常堅持那封電子郵件是他朋友想透過Google Doc和他分享極為重要的文件,必須立即開啟回復,無論我怎麼解釋都沒用,所以我開了個Browserling的視窗,把所謂的「Google Doc分享連結」丟上去,讓他看看點擊後會開啟什麼視窗,才讓他心服口服。

若是附在電子郵件中的檔案,或者是下載的檔案,也必需在隔離的環境下開啟,運用各種不同工具檢視,例如觀察是否開啟新的Process、是否對系統檔案如Registry做出改變、是否檔案本身正常但是有新連結引導到惡意程式、或者是否在開啟檔案的過程中自動下載惡意程式等等。有一個不錯的開源工具可以使用,那就是Cuckoo Sandbox (杜鵑)
會喜歡Cuckoo是想避免麻煩的程序,因為有時候並沒有要當專門研究惡意程式的資安專家,不想手動設置虛擬隔離環境後一項一項安裝各種分析程式,Cuckoo的話只要按照程序安裝,設置好隔離虛擬環境﹝例如Virtualbox﹞,安裝Agent,便能將惡意程式分析自動化,流程非常類似上傳檔案至VirusTotal,只要將可疑檔案上傳到Cuckoo,Cuckoo會自己管理VM,開啟VM後在裡面自動分析可疑程式,產生報告,我們可以從Cuckoo的日誌或螢幕截圖掌握情況,也可以開啟VM視窗看點擊可疑檔案後有什麼變化,很多時候其實這就足夠了,純粹只是想讓用戶知道:「嘿!你看喔,你收到的檔案如果點擊打開,接下來會有一些奇怪的行為,你看」。如果有心往惡意軟體分析這個領域深入,也可以研讀相關文件。在youtube上其實有很多Cuckoo教學視頻和在環境裡測試WannaCry、Locky等等的影片,所以這篇文章我就不放螢幕截圖了。

转载请注明:XAMPP中文组官网 » Day 25 研究惡意程式的杜鵑 Cuckoo