Christian Wojner, CERT.at

Ähnliche Dokumente
SolarWinds Engineer s Toolset

Produktinformation DaVinci Developer

Installation von NetBeans inkl. Glassfish Anwendungs-Server

Parallels Mac Management 3.5

Installation des GeoShop Redirector für Apache (Stand ) ================================================================

Der neue COSYNUS Mobile Device Server

Dokumentation owncloud PH Wien

SolarWinds Engineer s Toolset

Version White Paper ZS-TimeCalculation und die Zusammenarbeit mit dem iphone, ipad bzw. ipod Touch

Kontinuierliche Architekturanalyse. in 3D

Live Shopping Advisor (LSA) Eigenschaften

TYPO3 Slide Lightwerk GmbH

Konzept Projekt Lisa

Nach dem Einstecken des mdentity wird die Anwendung nicht gestartet

Virtuelle Telefonanlage: OutCALL Integration. reventix - OutCALL Integration v1.1.0.odt

Neue Funktionen in Innovator 11 R5

Systemvoraussetzungen

TwinCAT HMI Application

OpenCms jbpm Workflow Engine. OpenCms und jbpm Workflow Engine

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2

Graphen in Apex von Thomas Hernando.

Installation Hardlockserver-Dongle

Geany Just Not Another Editor

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern.

30. Okt Video-Qualitätskontrolle mit QCTools. Peter Bubestinger. Was ist QCTools? Features Analysegraphen Videofilter Beispiele. FFmpeg.

Geringer Schulungsaufwand, kurze Einarbeitungszeit Einheitliche Benutzeroberfläche für alle Module

Die Installation des GeoShop Redirector für IIS (Internet Information Server, Version 4.0, 5.0 und 6.0) umfasst folgende Teilschritte:

1 Was ist das Mediencenter?

Die Software "Cherry SmartDevice Setup" unterstützt das Lesen und Schreiben von Chipkarten für folgende Cherry Produkte:

Update Information. Independence Pro Software Suite 3.0 & Sound Libraries

Herausforderungen des Enterprise Endpoint Managements

aviita reporting portal

Konfiguration von Fabasoft Mindbreeze Enterprise für IBM Lotus

Wibu Hardlock Installation

TELEMETRIE EINER ANWENDUNG

-Verschlüsselung

CODESOFT version 10. SOFTWARE SOLUTIONS Label Design ERP/Host Connectivity Data Management

Tacx Trainer-Software Version 3.6 Bedienung

4D Server v12 64-bit Version BETA VERSION

eridea AG Installation Eclipse V 1.1

FreePDF XP Handbuch. Aktuelle Version bei Fertigstellung: FreePDF XP 1.0. Inhalt:

1 Installation QTrans V2.0 unter Windows NT4

NovaBACKUP DataCenter 5.0. Screenshots

PCC Outlook Integration Installationsleitfaden

COI-BUSINESSFLOW FILESYSTEM IMPORTER MODUL INFORMATION

Corero Network Security

Internet online Update (Internet Explorer)

Multiplayer Anweisungen

INHALT. 2. Zentrale Verwaltung von NT-, und 2003-Domänen. 3. Schnelle und sichere Fernsteuerung von Servern und Arbeitsstationen

Technische Alternative elektronische Steuerungsgerätegesellschaft mbh. A-3872 Amaliendorf, Langestr. 124 Tel +43 (0)

Tutorial Windows XP SP2 verteilen

Anleitung für die Übertragung des SINUMERIK HMI auf einen externen Bildschirm

Systemvoraussetzungen

generic.de QDBAddOn Produktinformationsblatt Automatisierung der NetIQ AppManager -Überwachung und Vereinfachung von bestehenden Funktionalitäten.

Anbindung LMS an Siemens S7. Information

BitDefender Client Security Kurzanleitung

OpenMAP WEBDrive Konfiguration. Oxinia GmbH , Version 1

Einsatzbedingungen FAMOS 3.10

Product Activation Manager

Visualisierung statistischer Daten

Windows 7 32 Bit (x32) Windows 7 64 Bit (x64)

Schwachstellenanalyse 2012

Firmware-Update, CAPI Update

Es gibt zwei Wege die elektronischen Daten aus Navision zu exportieren.

Virtueller Campus. Virtueller Campus Horw mit interaktiver Steuerung. HowTo: Externe Bibliotheken

Uwe Baumann artiso Solutions

Neue 3D Machine Vision Software im Metro-Stil von Windows 8 lässt in die Zukunft blicken

ebay Mode Fokus ebay Partner Network

Grow VDID Design Management Weiterbildung

Systemvoraussetzungen

Einbinden der Windows 8 Images ins Virtualschool System

GMM WLAN-Transmitter

Karten-Freischaltung mit dem UNLOCK MANAGER

BI in der Cloud eine valide Alternative Überblick zum Leistungsspektrum und erste Erfahrungen

Multichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung

Installation EPLAN Electric P8 Version Bit Stand: 07/2014

DocuWare unter Windows 7

Was ist das Tekla Warehouse

Möglichkeiten des Parallelbetriebs der VR-NetWorld Software Parallelbetrieb VR-NetWorld Software 4.4x und Version 5.0 ab der 2. Beta!

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Betriebshandbuch. MyInTouch Import Tool

InfoZoom 8.0 setzt Maßstäbe in Bedienung und Übersichtlichkeit und wird damit noch flexibler. Überzeugen Sie sich jetzt selbst!

Virtual Desktop Infrasstructure - VDI

Dokumentation CMM Modular Server

White Paper. Installation und Konfiguration der Fabasoft Integration für CalDAV

Herzlich Willkommen zur IT - Messe

Task: Nmap Skripte ausführen

Dauerhaft Kosten senken mit System Energiemanagement von RSW Technik. ConsumerViewer. Energievisualisierung nach Maß!

snom Auto-Provisioning

Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress.

Was macht Mandatos in. Heidelberg?

Hyperlink-Erstellung in InDesign für

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Avira Browser-Schutz (Erkennungen) Kurzanleitung

KeyGateway incadea.engine DMS KeyReport Schlüsselmanagement auf höchstem Niveau

Transkript:

Christian Wojner, CERT.at IT-SeCX 2014 1

Wh01am Person Publikationen Vorträge Christian Wojner Malware Analysis, Reverse Engineering, Computer Forensics CERT.at / GovCERT.gv.at Papers Mass Malware Analysis: A DIY Kit An Analysis of the Skype IMBot Logic and Functionality The WOW-Effect Articles HITB Online Mag The Art of DLL Injection Automated Malware Analysis - An Intro to Minibis HAKIN9 Online Mag Minibis Software Minibis Bytehist (REMnux) Densityscout (REMnux) ProcDOT (REMnux) FIRST Symposium 2010 CertVerbund-DE 2010 Deepsec 2010 Teliasonera 2011 Joint FIRST/TF-CSIRT Technical Seminar 2012 CanSecWest 2012 CertVerbund-DE 2012 0ct0b3rf3st 2012 SANS Forensics Prague 2012 Deepsec 2012 FIRST Symposium 2013 CertVerbund-DE 2013 0ct0b3rf3st 2013 SANS Forensics Prague 2013 CENTR Meeting 2013 ATC Jahrestreffen 2014 0ct0b3rf3st 2014 IT-SeCX 2014 2

IT-SeCX 2014 3

Sinn und Zweck Ist eine URL, Dokument, Executable,... "gut" oder "böse"? ACHTUNG: Counter-RE Wie verhält sich ein Executable? Erkennen von Zusammenhängen Erkennen von Familienzugehörigkeit Aktueller System Status Malware Report Hilfsmittel (Graph) Einfache Erklärungsgrundlage ("Managementtauglich") Ausgangsbasis für Code-Analyse IT-SeCX 2014 4

Verhaltensanalyse System Aktivitäten Datenträger File-System Netzwerk Windows Messages Registry Prozess-Management Thread-Management IT-SeCX 2014 5

Standard Tools Aktivität Procmon PCAP (Windump, Tcpdump, Wireshark) Datenträger File-System Netzwerk Windows Messages Registry Prozess-Management Thread-Management IT-SeCX 2014 6

Process Monitor (Procmon)!!! IT-SeCX 2014 7

Wireshark (PCAP)!!! IT-SeCX 2014 8

Datenflut Procmon 1 min 100.000 Rows (oder mehr) Wireshark (PCAP) 1 min 100 1000 Rows (oder mehr) (oder mehr bei umfangreichem Traffic) IT-SeCX 2014 9

Daten-Korrelation PROCMON Daten PCAP Daten TCP/UDP Events PROZESSE TCP/UDP Pakete IT-SeCX 2014 10

ProcDOTs Ziele EIN Big Picture Erkennung ob "gut" oder "böse" auf 1. Blick Grobe Einschätzung der Lage innerhalb 1 Minute Gesamtüberblick ("Gefühl") über das Zusammenspiel der einzelnen Infektionsschritte und Komponenten innerhalb weniger Minuten Hochqualitatives Ausgangsmaterial für detailliertere Analysen IT-SeCX 2014 11

IT-SeCX 2014 12

Besuch einer Website BÖSE GUT IT-SeCX 2014 13

Besuch einer Website GUT BÖSE IT-SeCX 2014 14

Allgemeines ProcDOT s Name Proc... Process Monitor (Procmon) from Sysinternals DOT... DOT module of the Graphviz Suite OS Verfügbarkeit Windows (32 Bit/64 Bit), Linux (32 Bit/64 Bit) OS X in Planung Freeware (Donationware) IT-SeCX 2014 15

Feature Highlights (v 1.1 beta) Korrelation von Process Monitor Log und PCAP Interaktiver Graph Automatische Zusammenführung von Long- und Short-Names Automatische Reduktion des Hintergrundrauschens Manuelle Reduktion des Hintergrundrauschens (Filter: Global + per Session) Detaillierte Daten zu Knoten per Kontextmenü Zuordnung von Aktivitäten auf Thread Ebene (!Netzwerk) Visualisierung von Thread-/Code-Injections Einfache Identifikation von Reboot Strategien (Autostart) Volltextsuche (+ entsprechendes Hervorheben) Timeline zur raschen chronologischen Übersicht Chronologische Zusammenhänge durch Animation des Infektions-Ablaufes Unicode Plugin Engine Bitmap Exporter IT-SeCX 2014 16

Graph (Voll) IT-SeCX 2014 17

Graph (Teil 1/4) IT-SeCX 2014 18

Graph (Teil 2/4) IT-SeCX 2014 19

Graph (Teil 3/4) IT-SeCX 2014 20

Graph (Teil 4/4) IT-SeCX 2014 21

Konzentration auf's Wesentliche (Graphgröße) Intelligente Verfolgung Pfade (Dateien/Registry) Kompression/Aggregation Registry (Autostart/Non-Autostart) Dateien (relevante/irrelevante) Netzwerk (Ports) Inhalt des Graphen Knoten Kanten Filter Dateien Registry Keys Server Dateien die lediglich gelesen werden IT-SeCX 2014 22

IT-SeCX 2014 23

Roadmap Bitmap Exporter Plugin Engine Frame/Echtzeit-Bezug (Statusbar, Marker für 1 & 5 sec) Unicode-fähig Sessionbasierte Filter (+ Globale) Filter Manager PCAP Integration ++ Flow-DB Knoten/Kanten-bezogene Funktionen "Open in Wireshark" für Knoten/Kanten Frame Ranges Notizen & Anmerkungen Report Modul Themes Natives Rendern Natives Procmon Log-Format (RE von.pml) (Community) Plugins wie WHOIS PDNS etc. IT-SeCX 2014 24

Plugin Engine (v 1.1) Environment Variablen Plugin-X TXT CSV XML plugins Plugin-1 Plugin-2 Plugin-3 Plugin-N Typen - Eventhandler - Main Menu Item - Graph Context Menu Item Architektur - Eigenständiges Executable - Dynamische Library - Shellskript - etc. IT-SeCX 2014 25

Get in touch... Website: http://www.procdot.com News: https://twitter.com/procdot Community: https://groups.google.com/forum/#!forum/procdot Donate: http://www.procdot.com/donate.htm Contact: team@cert.at chrisu@procdot.com IT-SeCX 2014 26

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback