{ Materijali sa prve radionice }:
Online besplatni servisi za analizu virusa:
Tu je i Open-source self-hosted alat CuckooSandbox koji mozete podici sami na svom hardveru ako vam treba privatni automatizovani sandbox u internoj mrezi, a postoji i online verzija za test. Preporuka za alat pogotovo onima koji prave svoj kucni home-lab cybersecurity centar.
Pricali smo kako ne morate uvek upload-ovati fajlove na Virustoal da bi videli da li su zarazeni ili ne, nekad je to i nemoguce jer postoji ogranicenje od 650MB za velicinu fajla koji se moze otpremiti na analizu. U tom slucaju mozete lokalno izracunati hes vrednost koja jedinstveno identifikuje fajl i uraditi na VirusToal ili nekoj drugoj platformi upit po toj vrednosti pomocu Powershell funkcije Get-FileHash
Pricali smo i o sajtovima sa kojih se mogu preuzeti pravi primerci virusa za istrazivanje i testiranje kao sto su:
Ali veliko upozorenje za iste jer sadrze prave viruse koji mogu nastetiti vasem sistemu ako ne znate kako sa njima da rukujete i gde da ih ispitujete. Uvek ovakve viruse koristiti samo u izolovanom okruzenju (sandbox, liveOS) nikako na svom svakodnevnom sistemu!!!
Tu postoji i ne-maliciozni Virus test fajl Eicar koji sluzi za testiranje zastitnog softvera na mrezi ili sistemu bez brige da ce isti nastetiti necemu.
Pominjali smo Sysinternals suite koji je skup besplatnih alata sa kojima detaljnije mozete ispitati odredjene servise na Windows racunaru kao sto su Registry, procesi, …
Od kojih je jedan od poznatijih ProcessExplorer koji ima opciju da se integrise sa VirusTotalom i prikaze da li je neko id pokrenutih procesa prepoznat malizciozan na VirusTotal-u
Pricali smo o programima za ispitivanje sadrzaja RAM memorije tzv. “Memory dump” sto je cesta tehnika u forenzici pogotovo kada se pokusava pronaci ozbiljniji virus koji se ne cuva na disku tzv. “FileLess malware” ili rootkit.
Za tu svrhu postoji open-source alat koji jednostavno programe iz memorije sacuva kao fajlove na disku process-dump koje posle mozete analizirati na Virustotal platformi.
Drugi poznatiji program koga se nismo dotakli jos je Volatility.
Pricali smo o open-source softveru koje mozete koristiti da nadgledate sta se i na mreznom delu desava na vasem racunaru pomocu softvera kao sto su:
-
PortMaster (sada se zove safing)
-
GlassWire (nije open-source)
Za Android postoji aplikacija na F-Droid-u koja radi slicnu stvar Rethink DNS + Firewall
Pominjali smo samo kako se Sysmon (alat iz Sysinternal paketa) moze koristiti da se bolje prate relevantni logovi na Windows (i Linuksu).
Mitre ATT&CK matricu i kako se je ista relevantna za pracenje napada sa Sysmon-om (sto cemo ubuduce raditi).
Samo je pomenut i Autopsy open-source alat za digitalnu forenziku diska.
(Petar)