Процессор с поддержкой AMD-V или Intel VT-x (практически любой современный процессор). 4 Гб ОЗУ (чем больше, тем лучше). Перед началом работы убедитесь, что виртуализация (AMD-V или Intel VT-x) включена в BIOS. Для этого погуглите “включить визуализацию”, дописав версию биос или материнской платы, а затем выполните найденную инструкцию.
Выбор гипервизора
Гипервизор — программное обеспечение, которое позволяет создавать виртуальный компьютер (также называемый Виртуальная Машина или сокращенно ВМ), изолированный от настоящего. Мы воспользуемся гипервизором для создания отдельной системы Windows и заражения её вредоносным ПО без вреда для нас самих и наших данных.
Я лично использую 5 разных гипервизоров, так как все они немного отличаются и подходят для разных задач. Расскажу, для чего использую каждый из них и почему.
VMware Workstation Pro — очень высокая производительность и, пожалуй, лучший гипервизор для запуска Windows. В нём есть множество дополнительных фичей, которые делают его полезным для сложных виртуальных сетей. VMware Workstation Player — урезанная и облегчённая версия Pro, отлично подходит для простых ВМ-настроек. Но отсутствие поддержки снапшотов делают его неподходящим для анализа уязвимостей. У меня он установлен на ноутбуке для проверки на ходу.
Как сделать вирус? | Как стать хакером? | CMD Windows 2
KVM — работает на Linux, есть классный плагин, позволяющий запускать больше ВМ, чем позволяет ОЗУ, при помощи дедупликации. KVM отлично подходит тем, что не позволяет вредоносной программе обнаружить, что она запущена в ВМ, так как большинство из них зависит от наличия особых артефактов VMWare или VirtualBox, а прочие гипервизоры не пытается обнаружить.
ESXi — это не гипервизор, который вы устанавливаете на операционную систему. Это гипервизор, который сам является операционной системой. Такой подход позволяет уменьшить оверхед, так как нет необходимости в каком-либо коде, кроме требуемого для запуска гипервизора.
VirtualBox — позволяет подделывать оборудование, на котором запущена ваша ВМ, тем самым не позволяя вредоносной программе догадаться, что она запущена в виртуальной машине, проверяя виртуальное/физическое оборудование или версию прошивки. Он бесплатный, простой в настройке и обладает большинством функционала, который есть в платных гипервизорах.
Новичкам я бы посоветовал использовать VirtualBox, так как он бесплатный, поддерживает большинство операционных систем, есть инструмент снапшота, что позволяет откатывать ВМ до сохранённой точки. Именно по этой причине в этом посте я использую VirtualBox.
Выбор гостевой ОС
Выбор операционной системы, запущенной в виртуальной машине, очень важен и зависит от нескольких вещей, о которых я расскажу подробней.
Ваши навыки
Если вы планируете заняться реверс-инжинирингом вредоносного ПО, но понимаете только ассемблер x86 (или изучаете ассемблер), то есть смысл запустить установку x86 Windows. Большинство вредоносных программ работает на WoW64 (способ Windows запускать 32-битные бинарные файлы в 64-битных системах), поэтому скорее всего придётся заниматься реверс-инжинирингом 32-битного кода вне зависимости от того, какая архитектура используется.
как написать вирус из 9 символов
В некоторых случаях, вредоносная программа бросает 32-битную или 64-битную полезную нагрузку в зависимости от архитектуры, поэтому, если вы не знаете 64-битный ассемблер, вам потребуется 32-битная нагрузка, а значит, нужно использовать 32-битную (x86) операционную систему.
Ваше оборудование
Процессор x86_64 может запускать 32- и 64-битные ВМ, но x86 процессор может запускать только 32-битные. Поэтому, если у вас именно такой, стоит выбрать 32-битную операционную систему. Старые процессоры (особенно x86) могут не поддерживать функционал, требующийся для установки новых версий Windows, поэтому выбирайте версию не позже Windows 8.
Если у вашей машины недостаточно оперативной памяти, лучше ограничиться запуском виртуальной машины с Windows XP, так как ей нужно не более 256 МБ (убедитесь, что используете Service Pack 3 — это добавит некоторые системные фичи, на которые опирается большинство вредоносных ПО). Виртуальной машине с Windows 7 понадобится 1 Гб оперативной памяти, но можно обойтись и 768 Мб (512 Мб для Home Edition).
Ваш опыт
Большая часть вредоносных программ будет работать на всех системах Windows, начиная с XP Service Pack 3 и заканчивая Windows 10. Поэтому, если вы понимаете, что лучше разбираетесь с XP, смело используете именно её. Windows 10 очень ресурсоёмкая и может поддерживаться не всеми вредоносными программами, поэтому для повседневного анализа рекомендую использовать десятку только в случае крайней осознанной необходимости. Windows 10 также ужасно шумная с точки зрения фоновых сервисов, подключённых к интернету, что забьёт ваш перехватчик пакетов бессмысленными, ненужными данными.
Ваша вредоносная программа
64-битные операционные системы используют DSE (Driver Signature Enforcement), который не позволяет выполнять загрузку драйверов ядра, не прошедших сертификацию. Если вы анализируете вредоносное ПО, устанавливающее драйвер ядра, то стоит выбрать 32-битную систему, так как на ней не возникнет проблем с установкой несертифицированных драйверов.
Чем пользуюсь я?
Я — счастливый обладатель мощного стоечного сервера в моём подвале (любезно предоставленный моим работодателем), поэтому у меня есть ВМ каждой ОС, начиная с XP и заканчивая 10 в обеих версиях: 32- и 64-битной. Но раньше я отдавал предпочтение Windows 7 Ultimate Edition (32-битной) для работы с обычными вредоносными ПО (я использую Ultimate для функции удалённого рабочего стола, но, если вас устраивает VNC, то с Home Edition проблем не возникнет).
Также стоит помнить о том, что ВМ будет использоваться для запуска и анализа вредоносной программы, поэтому игнорировать старые операционные системы по причине их “небезопасности против хакеров/вредоносного ПО” контрпродуктивно, ведь вы пытаетесь заразить систему вредоносным ПО.
В следующей части нашей статьи поговорим о подробных настройках ВМ и среды. Следите за новостями и оставляйте комментарии!
Источник: otus.ru
Эксплуатация уязвимостей и методы внедрения вредоносного ПО
Киберпреступники часто эксплуатируют любые уязвимости, существующие в операционной системе (ОС) или в прикладном ПО, запущенном на компьютере-жертве.
Таким образом, сетевой червь или троянец может проникнуть на машину-жертву и запуститься.
Что такое уязвимость?
Уязвимость – это, по сути, брешь в коде или логике работы в ОС или прикладном ПО.
Современные ОС и приложения очень сложны и имеют широкий функционал, поэтому, разработчикам сложно создать ПО, который бы не содержал никаких ошибок.
Нет недостатка в вирусописателях и киберпреступниках, готовых посвятить значительные усилия исследованиям того, как они могут получить выгоду от
эксплуатации любой уязвимости до того, как она будет закрыта производителем, который выпустит соответствующее обновление.
- Уязвимости в приложениях
Почтовые черви Nimda иAliz эксплуатировали уязвимости в Microsoft Outlook. Когда пользователь открывал зараженное сообщение – или даже просто помещал курсов на сообщение в окне предварительного просмотра –запускался файл червя. - Уязвимости в операционных системах (ОС)
CodeRed, Sasser, Slammer и Lovesan (Blaster) – это примеры червей, эксплуатировавших уязвимости в ОС Windows. Черви Ramen и Slapper проникали в компьютеры через уязвимости в ОС Linux и в некоторых Linux-приложениях.
Эксплуатация уязвимостей в интернет-браузерах
Одним из самых популярных методов внедрения вредоносного ПО стало распространение вредоносного кода через веб-страницы. На веб-страницу помещаются зараженный файл и скриптовая программа, эксплуатирующая браузерную уязвимость. Когда на эту страницу заходит пользователь, скриптовая программа скачивает зараженный файл на компьютер пользователя, используя уязвимость в браузере, и затем запускает этот файл.
Чтобы заразить как можно больше машин, создатели вредоносное программы используют целый набор методов привлечения пользователей на веб-страницу:
- Рассылка спам-сообщений, содержащий адрес зараженной страницы
- Рассылка сообщений через системы мгновенного обмена сообщениями
- Через поисковые системы – текст, помещаемый на зараженную страницу, обрабатывается поисковыми системами, и ссылка на страницу попадает в поисковую выдачу.
Подготовка заражения троянцами
Киберпреступники также используют небольшие троянцы, которые загружают и запускают более крупные троянцы. Маленький троянец проникает на компьютер пользователя – например, через уязвимость, а затем загружает из интернета и устанавливает другие вредоносные компоненты.
Многие троянцы изменяют настройки браузера на наименее безопасные из возможных, чтобы облегчить скачивание других троянцев.
Разработчики ПО и антивирусных решений отвечают на вызов
К сожалению, период между появлением новой уязвимости и началом его эксплуатации червями и троянцами становится все короче и короче. Это создает проблемы как для разработчиков ПО, так и для антивирусных компаний:
- Разработчики приложений или ОС должны исправить ошибку как можно быстрее – для этого они разрабатывают обновление-патч, тестируют его и распространяют его по пользователям.
- Разработчики антивирусов должны работать быстро – они должны выпустить решение, которое обнаруживает и блокирует файлы, сетевые пакеты и любые прочие объекты, используемые для эксплуатации уязвимости.
Статьи и ссылки по теме:
- Киберпреступность
- Что такое Adware?
- Что такое троянская программа?
- Компьютерные вирусы и вредоносное ПО
- Спам и фишинг
- Программы-вымогатели и кибершантаж
- Мобильные угрозы
- Выбор антивирусного решения
Продукты:
- Kaspersky Total Security
- Kaspersky Internet Security
- Антивирус Касперского
- Бесплатный Aнтивирус Kaspersky Free
- Kaspersky Internet Security для Mac
- Kaspersky Internet Security для Android
Эксплуатация уязвимостей и методы внедрения вредоносного ПО
Киберпреступники часто используют уязвимости операционной системы (ОС) или программных приложений, которые выполняются на компьютере пользователя, чтобы сетевые черви или троянские программы смогли проникнуть на компьютер и запустить себя.
Источник: www.kaspersky.ru
Антивирусная прав ДА! TM
- добавить в избранное
О вредоносных скриптах: как они работают, чем опасны и как не столкнуться с ними
Прочитали: 16109 Комментариев: 41 Рейтинг: 69
18 января 2021
Сегодняшний выпуск посвящаем краткому экскурсу в мир вредоносных скриптов, разговору о том, как им противостоит Dr.Web, — и советам о том, как избежать встречи с ними.
Один из наших читателей в соцсетях задал вопрос о вредоносных скриптах и общей безопасности при работе в Интернете. В частности, он интересовался защитой от угроз на JavaScript и других скриптов, размещаемых злоумышленниками на веб-страницах, а также попросил дать несколько советов по правильной настройке веб-антивируса Dr.Web. Благодарим за актуальный вопрос – ведь это отличный повод разобраться, в чем же там дело!
Если рассказывать обо всех вредоносных скриптах, которые когда-либо видели специалисты нашей вирусной лаборатории, то статья по своему объему потянет на учебник и явно не впишется в формат «Антивирусной правды». Вы наверняка уже догадались, что это очень многообразный, а значит – распространенный тип вредоносных программ.
Что же такое вредоносный скрипт?
В широком смысле всякий скрипт – это программный код (сценарий), написанный на различных интерпретируемых языках. Все скрипты выполняются с помощью внешней программы – интерпретатора. В отличие от исполняемых файлов, скрипты в большинстве своем существуют в виде текстовых файлов и могут быть прочитаны человеком. Например, исходный код скомпилированного файла привести в первозданный вид почти невозможно, а скрипты, напротив, всегда содержат исходный код. По принципу работы «плохие» скрипты ничем не отличаются от «хороших».
Вредоносные скрипты можно условно разделить на два вида.
- Скрипты, которые встраиваются в код веб-страниц, интерпретируются браузером и выполняют действия, заложенные злоумышленниками.
- Скрипты, которые предназначены для запуска на компьютере пользователя. Они исполняются компонентами операционной системы и имеют доступ к API (файловая система, процессы и т. д.).
В контексте работы в Интернете под вредоносными скриптами чаще всего подразумевается первый вид. Такие сценарии как правило написаны на JavaScript и PHP. Они находятся в коде страниц недобросовестных или взломанных сайтов и пытаются майнить криптовалюту в браузере пользователя, отображают рекламу с целью накруток, перенаправляют на другие сайты, зачастую мошеннические и опасные. К веб-скриптам можно отнести и PHP-инфекторы, которые заражают «хорошие» скрипты на серверной стороне. Кроме того, вредоносный код может находиться в составе расширений для браузеров.
Теоретически скрипт веб-страницы может быть использован как эксплойт – набор ошибочно интерпретируемых браузером данных, позволяющий получить доступ к атакуемой системе. Однако в настоящее время такие эксплойты встречаются все реже в виду развития браузеров, которые ограничивают доступ к функциям ОС, поэтому вредоносный код на сайте едва ли может навредить компьютеру в целом. Но несмотря на это, упомянутых деструктивных функций вполне достаточно, чтобы сильно испортить жизнь любому пользователю. Реклама, мошенничество, фишинг, замедление работы браузера, даже сам взлом сайтов – это все про веб-скрипты. К тому же они кроссплатформенны и очень распространены, поскольку злоумышленники массово используют их для инфицирования страниц и веб-серверов.
Но опасность подстерегает не только на сайтах. Другим видом вредоносных скриптов являются сценарии, которые запускаются компонентами ОС. Они могут быть написаны на разных скриптовых языках: JScript, VBS, PowerShell, Perl, Python и многих других. Такие сценарии гораздо более функциональны и опасны, так как обращаются напрямую к API-объектам.
Несмотря на то, что скрипты крайне редко содержат основную функциональность, они часто используются либо для начальной загрузки других вредоносных модулей в заражаемые системы, либо для промежуточных действий или вспомогательных операций. Например, в Windows часто встречаются PowerShell-скрипты, содержащие эксплойты или утилиты для продвижения по системе/сети. Хотя скрипты и считаются кроссплатформенным инструментом, некоторые из них работают только в предназначенных для этого ОС, так как для их работы важно наличие тех или иных системных API. Упомянутые PowerShell, а также BAT и JScript-сценарии работают в Windows, AppleScript предназначен для macOS, а ВПО для Linux часто представлено в виде bash-скриптов.
Системные скрипты для ОС чаще всего распространяются через электронную почту, раздаются на взломанных и вредоносных сайтах, загружаются другими программами, распространяются самостоятельно через съемные носители и сетевые ресурсы.
Добавим, что почти все вредоносные (и не только) скрипты тем или иным образом обфусцированы. Это значит, что для их детектирования часто приходится применять другие технологии, нежели традиционное сравнение по сигнатурам.
Для обезвреживания системных скриптов в Windows мы применяем алгоритмы машинного обучения, встроенные в основное антивирусное ядро. Такой подход позволяет успешно детектировать вредоносный код вне зависимости от его запутанности, что невозможно было бы сделать при помощи сигнатурного анализа.
Для блокировки веб-скриптов используется наш эвристический анализатор и веб-антивирус – SpIDer Gate. Отметим, что для эффективной защиты дополнительно настраивать какой-либо из компонентов Dr.Web не нужно, так как настройки по умолчанию соответствуют оптимальным.
Таким образом, сегодня мы узнали, что скрипты могут нести самую разную вредоносную нагрузку – являться эксплойтами, майнерами, различными вспомогательными утилитами, рекламными троянами и даже шифровальщиками. Чтобы обезопасить себя и свой компьютер, требуется использовать надежную защиту.
Антивирусная правДА! рекомендует
- Использовать продукт комплексной защиты Dr.Web Security Space, включающий технологии сигнатурного, эвристического и машинного анализа, контроль веб-трафика, анти-спам и регулярно обновляющиеся базы нерекомендуемых и опасных сайтов.
- Придерживаться настроек, рекомендованных разработчиком ПО, и не отключать отдельные компоненты антивирусной защиты.
- Не игнорировать предупреждения безопасности антивируса, браузера, поисковых систем и операционной системы.
- Регулярно обновлять ОС, антивирус и программы для работы в Интернете.
- Не устанавливать сомнительные расширения и надстройки для браузеров.
- Владельцам и администраторам сайтов: использовать сетевые экраны для веб-приложений, держать в актуальном состоянии CMS и серверное ПО, регулярно создавать резервные копии сайта.
Источник: www.drweb.ru