恶意样本分析-1-配置实验环境

XT 2019-09-03 20:29:03


对于日常探针分析工作,样本分析作为不可缺少的一个环节,经常能够在其中发现比较重要的细节,对此部分的学习和总结尤其重要,这一系列即为最近收集总结的一部分。

本系列主要内容来自《K A, Monnappa. Learning Malware Analysis: Explore the concepts, tools, and techniques to analyze and investigate Windows malware (pp. 95-96). Packt Publishing. Kindle 版本. 》的记录

1 配置实验环境 Setting Up the lab environment

Linux: ubuntu 16.04 desktop
Windows: windows 2008

1.1 Linux

Linux after install system:
third-party packages:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
sudo apt-get update
sudo apt-get install python-pip
pip install --upgrade pip

python tools:
sudo apt-get install python-magic
sudo apt-get install upx
sudo pip install pefile
sudo apt-get install yara
sudo pip install yara-python
sudo apt-get install ssdeep
sudo apt-get install build-essential libffi-dev python python-dev \ libfuzzy-dev
sudo pip install ssdeep
sudp apt-get install wireshark
sudo apt-get install tshark

INetSim(网络状态模拟器):
sudo su
echo "deb http://www.inetsim.org/debian/ binary/" >/etc/apt/sources.list.d/inetsim.list
wget -O - --no-check-certifucate http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
apt update
apt-get install inetsim

以上安装完毕,labubuntu 切换仅主机模式

LinuxVM config:

1.配置ubuntu静态网络static IP: 192.168.1.100

sudo gedit /etc/network/interfaces

1
2
3
4
5
6
7
auto lo
iface lo inet loopback

auto ens33
iface ens33 inet static
address 192.168.1.100
netmask 225.255.255.0

service networking restart
或者重启ubuntu
ifconfig确认

  1. 配置ubuntu中的inetsim配置
    修改inetsim默认配置:
    sudo gedit /etc/inetsim/inetsim.conf
    1
    2
    在默认配置service_bind区域追加,并注释掉默认配置:
    service_bind_address 192.168.1.100

配置DNS服务,已用于DNS服务:

1
2
在配置dns区域追加以下内容并注释掉原默认配置:
dns_default_ip 192.168.1.100

运行测试:
sudo inetsim
检查配置

  1. 配置第三方软件:
    python 2.7 (仅限本书)

check point
确认windows主机网段:192.168.1.105 DNS:192.168.1.100
测试win和linux之间联通节点

1.2 WINDOWS

WINDOWS VM config:
主机网络配置:192.168.1.101 DNS:192.168.1.100
关闭Defender(win10/7, win2008没有Windows Defender):
Windows Defender 服务需要在虚拟机禁用掉。运行》gpedit.msc》本地计算机策略》计算机配置》管理模板》windows组件》 Windows Defender(Windows10里面叫“Windows Defender防病毒程序”)
在右边部分双“关闭WindowsDefender策略”关闭Windows Defender防病毒程序。(下图为Win10的图)

配置虚拟机使其允许双向复制粘贴剪切板。
两个虚拟机全部配置完毕,拍摄快照保存初始化状态。此时,linux和windowsVM均配置为Host-Only仅主机模式,并且能够互通。

windows安装必要的分析工具

下面是一些可以用来下载恶意文件样本的网站:
Hybrid Analysis: https://www.hybrid-analysis.com/
KernelMode.info: http://www.kernelmode.info/forum/viewforum.php?f=16
VirusBay: https://beta.virusbay.io/
Contagio malware dump: http://contagiodump.blogspot.com/
AVCaesar: https://avcaesar.malware.lu/
Malwr: https://malwr.com/
VirusShare: https://virusshare.com/
theZoo: http://thezoo.morirt.com/
其他恶意软件样本源你可以在下面的博客中找到:You can find links to various other malware sources in Lenny Zeltser’s blog post https://zeltser.com/malware-sample-sources/.
个人收集工具:

对于在虚拟机中运行的监控类软件还应该注意修改程序名称:
wireshark主程序修改入口程序名称可以改变进程名