Christian Wojner, CERT.at IT-SeCX 2014 1
Wh01am Person Publikationen Vorträge Christian Wojner Malware Analysis, Reverse Engineering, Computer Forensics CERT.at / GovCERT.gv.at Papers Mass Malware Analysis: A DIY Kit An Analysis of the Skype IMBot Logic and Functionality The WOW-Effect Articles HITB Online Mag The Art of DLL Injection Automated Malware Analysis - An Intro to Minibis HAKIN9 Online Mag Minibis Software Minibis Bytehist (REMnux) Densityscout (REMnux) ProcDOT (REMnux) FIRST Symposium 2010 CertVerbund-DE 2010 Deepsec 2010 Teliasonera 2011 Joint FIRST/TF-CSIRT Technical Seminar 2012 CanSecWest 2012 CertVerbund-DE 2012 0ct0b3rf3st 2012 SANS Forensics Prague 2012 Deepsec 2012 FIRST Symposium 2013 CertVerbund-DE 2013 0ct0b3rf3st 2013 SANS Forensics Prague 2013 CENTR Meeting 2013 ATC Jahrestreffen 2014 0ct0b3rf3st 2014 IT-SeCX 2014 2
IT-SeCX 2014 3
Sinn und Zweck Ist eine URL, Dokument, Executable,... "gut" oder "böse"? ACHTUNG: Counter-RE Wie verhält sich ein Executable? Erkennen von Zusammenhängen Erkennen von Familienzugehörigkeit Aktueller System Status Malware Report Hilfsmittel (Graph) Einfache Erklärungsgrundlage ("Managementtauglich") Ausgangsbasis für Code-Analyse IT-SeCX 2014 4
Verhaltensanalyse System Aktivitäten Datenträger File-System Netzwerk Windows Messages Registry Prozess-Management Thread-Management IT-SeCX 2014 5
Standard Tools Aktivität Procmon PCAP (Windump, Tcpdump, Wireshark) Datenträger File-System Netzwerk Windows Messages Registry Prozess-Management Thread-Management IT-SeCX 2014 6
Process Monitor (Procmon)!!! IT-SeCX 2014 7
Wireshark (PCAP)!!! IT-SeCX 2014 8
Datenflut Procmon 1 min 100.000 Rows (oder mehr) Wireshark (PCAP) 1 min 100 1000 Rows (oder mehr) (oder mehr bei umfangreichem Traffic) IT-SeCX 2014 9
Daten-Korrelation PROCMON Daten PCAP Daten TCP/UDP Events PROZESSE TCP/UDP Pakete IT-SeCX 2014 10
ProcDOTs Ziele EIN Big Picture Erkennung ob "gut" oder "böse" auf 1. Blick Grobe Einschätzung der Lage innerhalb 1 Minute Gesamtüberblick ("Gefühl") über das Zusammenspiel der einzelnen Infektionsschritte und Komponenten innerhalb weniger Minuten Hochqualitatives Ausgangsmaterial für detailliertere Analysen IT-SeCX 2014 11
IT-SeCX 2014 12
Besuch einer Website BÖSE GUT IT-SeCX 2014 13
Besuch einer Website GUT BÖSE IT-SeCX 2014 14
Allgemeines ProcDOT s Name Proc... Process Monitor (Procmon) from Sysinternals DOT... DOT module of the Graphviz Suite OS Verfügbarkeit Windows (32 Bit/64 Bit), Linux (32 Bit/64 Bit) OS X in Planung Freeware (Donationware) IT-SeCX 2014 15
Feature Highlights (v 1.1 beta) Korrelation von Process Monitor Log und PCAP Interaktiver Graph Automatische Zusammenführung von Long- und Short-Names Automatische Reduktion des Hintergrundrauschens Manuelle Reduktion des Hintergrundrauschens (Filter: Global + per Session) Detaillierte Daten zu Knoten per Kontextmenü Zuordnung von Aktivitäten auf Thread Ebene (!Netzwerk) Visualisierung von Thread-/Code-Injections Einfache Identifikation von Reboot Strategien (Autostart) Volltextsuche (+ entsprechendes Hervorheben) Timeline zur raschen chronologischen Übersicht Chronologische Zusammenhänge durch Animation des Infektions-Ablaufes Unicode Plugin Engine Bitmap Exporter IT-SeCX 2014 16
Graph (Voll) IT-SeCX 2014 17
Graph (Teil 1/4) IT-SeCX 2014 18
Graph (Teil 2/4) IT-SeCX 2014 19
Graph (Teil 3/4) IT-SeCX 2014 20
Graph (Teil 4/4) IT-SeCX 2014 21
Konzentration auf's Wesentliche (Graphgröße) Intelligente Verfolgung Pfade (Dateien/Registry) Kompression/Aggregation Registry (Autostart/Non-Autostart) Dateien (relevante/irrelevante) Netzwerk (Ports) Inhalt des Graphen Knoten Kanten Filter Dateien Registry Keys Server Dateien die lediglich gelesen werden IT-SeCX 2014 22
IT-SeCX 2014 23
Roadmap Bitmap Exporter Plugin Engine Frame/Echtzeit-Bezug (Statusbar, Marker für 1 & 5 sec) Unicode-fähig Sessionbasierte Filter (+ Globale) Filter Manager PCAP Integration ++ Flow-DB Knoten/Kanten-bezogene Funktionen "Open in Wireshark" für Knoten/Kanten Frame Ranges Notizen & Anmerkungen Report Modul Themes Natives Rendern Natives Procmon Log-Format (RE von.pml) (Community) Plugins wie WHOIS PDNS etc. IT-SeCX 2014 24
Plugin Engine (v 1.1) Environment Variablen Plugin-X TXT CSV XML plugins Plugin-1 Plugin-2 Plugin-3 Plugin-N Typen - Eventhandler - Main Menu Item - Graph Context Menu Item Architektur - Eigenständiges Executable - Dynamische Library - Shellskript - etc. IT-SeCX 2014 25
Get in touch... Website: http://www.procdot.com News: https://twitter.com/procdot Community: https://groups.google.com/forum/#!forum/procdot Donate: http://www.procdot.com/donate.htm Contact: team@cert.at chrisu@procdot.com IT-SeCX 2014 26