Gide for cleaning your system and analysis of threats

Привет, хотелось бы показать небольшой гайд, как вычистить большинство малвари/эдвеер мусора(что можно словить в паблике), не прибегая к переустановке OS, гайд простой Самая база, берем обычный Taskmgr и просматриваем процессы без Издателя и ниже (с издателем), , пример (explorer.exe без издателя, сразу видно, что это какая-то залупа), далее ПКМ - открыть расположение, закрываем процесс --> вычищаем директорию, либо сам семпл в зависимости где он располагался) Если процесс критический ---> то вам стоит его заморозить через Process Hacker , затем удалить через Unlocker, чтобы вас не бсоднуло, иногда бывает, что подобные малвари имеют дочерние процессы и восстанавливаются через время, либо используют закрепы через Планировщик
задач, но в статье далее мы их рассмотрим борьбу с ними




Также можно порекомендовать тулзу process explorer от майкрасофт - https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
И еще одна программа от них - AutoRuns
https://learn.microsoft.com/ru-ru/sysinternals/downloads/autoruns

==============================================================================
Хорошо, допустим вы посмотрели и не нашли ничего подозрительного, скачиванием такую тулзу как Anvir, скачать ее можно с comss ru
Анализируем следующие пункты, выставив пункт риска вот так:


==============================================================================
Большинство малвари говна спокойно детектятся через пункты выше и в дальнейшем просто вычищаются, но существуют более сложные угрозы, для этого примера отлично подходят скрытые майнеры. Так как мы не находимся в 2014, где майнеры просто др0пались и вы могли спокойно их найти просто по тому, что свц хост не находится в системной директории, но времена меняются, щас майнеры используют техники и напрямую инжектят себя в память системных процессов, майня от его имени. Либо используют спизженный / купленный EV серт, поэтому если видите подозрительный процесс, даже с цифровой валидной подписью - это не гарантия безопасности! Вот такой пример:



Кажется, что это легитимный процесс, но на деле майнер


Часто их можно определить по обьему памяти, занимаемого процесса, они очень жирные, в отличие от других служб свцхоста запущенных (не всегда работает, но можно считать флагом для подозрения), такой же пример, но уже с багнутым неймом, сути не влияет, принцип внедрения в память используется тот же







В анвире такой майнер также не будет вызывать подозрений
В общем, для борьбы с этим говном рекомендую тулзу, под названием MinerSearch - https://github.com/BlendLog/MinerSearch
Майнер выше, она скосила вместе с его дочерним процессом



==============================================================================
Также поговорим об интернет трафике, условно если вы сидите на ратке, она отправляет запросы на сервак. Для многих анализ дампа с Wireshark может составить проблемы, поэтому скачиваем - Currports, скачать ее можно с softportal, в ней вы увидите все возможные соединения, соотвественно если будет какой-то специфический порт, от нн процесса - лучше обратить на это внимание



Также можете проверить свой планировщик заданий , часто через него закрепляется всякий мусор
​

Также важно отметить, что если вам ничего не помогло после очистки, следует проверить свой компьютер в журнале событий, а именно так: Перезагружаете пк, идёте в просмотр событий по пути: Журнал событий и служб -> Microsoft --> Windows --> Powershell , и пролистываете то время, которое произошло после перезагрузки пк, иногда малварь закрепляется посредством повторной загрузки через iex + iwr (упоминания доменов/айпишников итд), выглядит это так:

Часто это вылезает из SCH, поэтому идём туда и ищем, что могло там закрепиться



Также если вы захотели скачать авер, но малварь не даёт вам этого сделать, то можете воспользоваться данной утилитой - https://avbr.safezone.cc/rnd/

Напоследок гость программы, которой вычищается чуть ли почти не все, этим инструментом можно эффективно побороть закреп выше. Также тулзу используют на многих бордах для помощи в очистике компьютеров пользователей
СРАЗУ СКАЖУ, ЧТО ИСПОЛЬЗУЙТЕ НА СВОЁ УСМОТРЕНИЕ, ПЕРЕД ВЫПОЛНЕНИЕМ ДЕЛАЕТСЯ ТОЧКА ВОССТАНОВЛЕНИЯ, НО ОПЯТЬ ЖЕ, ГАРАНТИЙ ЧТО ЕСЛИ ВЫ ТРОНЕТЕ ЧТО ТО КРИТИЧЕСКОЕ - СИСТЕМА СЛОМАЕТСЯ И ПОТОМ НЕ ВОССТАНОВИТСЯ ЕСТЬ: советуйтесь с чат гпт, либо основывайтесь на своих знаниях, либо на форуме лолза, либо сейфзоне -


Farbar Recovery Scan


Скачиваем ее отсюда - https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
Переходим в неё


Ставим галочки на этих пунктах


Жмём кнопку Сканировать и ждём какое-то N-ое время.
Теперь создаём текстовый документ такой формы:


После скана у вас появляется в директории, где была программа появится 2 файла и Addition.txt
Открываем их и анализируем все то, что там написано, все что подозрительно вы берете и копируете сюда

Рассмотрю реальный кейс , как я вычищал засевший майнер одному из юзеров форума , и скрин от туда выше, как раз таки закреп через SCH --> powershell --> upload file --> start miner

Должно выглядить все в итоге +- так



Особенно обращайте внимание на левые файлы, или опять же повторюсь на попытку вызова powershell скриптов как здесь

Как понять что файл является говном? Опять же возвращайтесь к пунктам выше, анализируйте через вирустотал найденные семплы итд, все в ваших руках
После того как закончили составлять txt файл берете копируете снова все что вы там написали, абсолютно все
И жмёте кнопку исправить

После этого комп ребутнется и все то, что вы там отметили - будет зафикшено/удалено.
Спасибо за прочтение




=========================================================================================================================
Теперь краткий экскурс по бесплатным сандбоксам, которые актуальны в наше время
Все ниже описанные способы не дают 100% гарантии, так как существуют Evasion методы по типу тайм слипа (а именно его сложных конструкций)в виду ограничения времени анализа - могут остаться скрытыми, другие анти-вм трюки, по типу чека Hardware ID и другие. Но для большинства малвари в интернете они подойдут.Приступим

Первое, как многие знают - это

ANY.RUN - Interactive Online Malware Sandbox

Cloud-based malware analysis service. Take your information security to the next level. Analyze suspicious and malicious activities using our innovative tools.

Any.RUN

Даётся довольно шустрая вмка, удобный сниффер действий, трафика подключений, достаточный выбор устройств в бесплатном плане. Но, на всех машинах будет одинаковый UUID, думаю что это невероятно хуево обьяснять не стоит (сверху скрин с платного плана за 200 долларов / снизу бесплатная машина) Ограничение по времени 300 секунд, также можно ребутать тачку сколько вы захотите (допустим если угроза запускается после ребута) Работает с РУ айпи, легко зарегистрироваться через нн темпмайл, либо мой любимый

Главная

xyecoc.com

, большая база YARA правил, как и IoC.

Login | Triage

Explore Triage's Malware Analysis Sandbox to dissect your malware samples. Access malware trends, and a customizable environment for in-depth analysis and classification.

tria.ge

Неплохой выбор OS(mac os catalina / android / ubuntu / debian / win) , время работы вм 30+ минут, перезагружать вм нельзя, слегка лагучая, с ру айпи зайти нельзя, русские емейлы блокируются (даже если у вас был раньше аккаунт, не пишите тикеты в поддержку - вам выдадут бан), регистрация проходит в течение 2-3 суток, когда администрация рассмотрит тикет, есть огромный баг, на ней не будут запускаться адекватно SFX (просто зависнет), неплохая база YARA, также если вы имеете план ресерчера - можете добавлять свои, анти-эвейжен сделан так себе, на самой системе много следов QEMU, что даёт путь к детекту а следовательно и к сворачиванию вредоноса, еще есть баг, что иногда происходит утечка памяти и она просто вешает вам браузер - приходится перезаходить, в принципе для большинства угроз пойдет

Это были основные, также можете рассмотреть вот эти -

Threat.Zone – Advanced Malware Analysis Platform with Hypervisor-Powered Sa...

Threat.Zone is a hypervisor-powered agentless malware analysis platform with dynamic sandboxing, deep network insights, and cloud or on-premise deployment.

threat.zone

, joesandbox , hybrid-analysis, а также сервис от neiki, который зальёт ваш семпл на несколько песочниц сразу https://tip.neiki.dev/



Потом просто кликаете по ссылкам и смотрите что к чему
Пару слов о virustotal:
Не смотрите исключительно детекты! Многие из них могут быть ложными (либо софт может быть абсолютно чистым, если это лоудер), условно, если ваша программа находится под каким-либо обфускатором.
Смотрите вкладки Relations, где показана сетевая активность, непосредственно др0пнутые файлы, ну и вкладка behavior, где есть кнопка Full Reports с ссылками на полный анализ с вирустоталовского песка, там также просматриваете Network / что скинулось/ какие директории дергал семпл / пути реестра и самое главное посмотрите вкладку STRINGS! Иногда долбаебы очень хуево защищают память своего малвари, и в строках вы можете найти айпишники/ директории (допустим если ******* / упоминания названий криптокошельков итд . После строк можете следует также обратить внимание на Import-ы, они тоже многое могут сказать, что представляет из себя софт (особенно если это какой-нибудь локальный софт, а в внутри WinHTTP - повод задуматься)) По айпишникам можете проверять через

Check server : Check host - online website monitoring

Check server: website monitoring with useful tools, Check IP, Check website

check-host.net

(проверять стоит порты 3389 / 22 / 443 / 80 , а также ISP) , либо через сам VT, обычно на домены, к которым обращаются вредоносы начинают прилетать детекты, также берете и просто проверяете через вирустотал. Пример проверки одного из доменов playit, его часто используют школьники для развертывания .NET говно ратников, работающие через переброс портов :



Ну и главное обращайте внимание на точный детект, допустим , redline, dcrat и прочие (точное название вредоноса в детекте) - с большей вероятностью малвари, детект на основе поведения (нет гарантий, что семпл вредонос), опять же, нужна практика и частое обращение к подобным инструментам, но той базы сказанной выше в большинстве случаев достаточно​