018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43を利用して性能比較をしてみた話。
VT:動的解析なし
解析結果(IOC):https://www.joesandbox.com/analysis/882398#iocs
ネットワークの情報のみと思われる。
RainForestで研究開発したマルチCPU対応動的解析システムにはDFIRのようなアプローチでも情報を収集する仕組みを入れています。この機能で検知した結果をご紹介!
動的解析後に変化があったファイルリスト
OS起動時に起動されるinit.dなどにファイルを追加または変更している事がわかります。このファイルを解析終了時に収集しているのでそのファイルの中身をみてみます。例えばetc/init.d/hwclock.shshellの最後に/usr/networks&という文字が見えます。/usr/networksは検体がアクセスしたファイル一覧にあるのでこのファイルを改ざんして追加したと思われます。では/usr/networksは何かみてみます。
fileコマンド結果:ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, no section header
file hash:018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43
自分自身を /usr/networksにdropしてetc/init.d/hwclock.shで自動起動設定している事がわかります。
結果: この検体に関してはJoeSandboxにも負けないぐらいの結果となり、この動的解析を世の中に出せる可能性があると感じる結果になりました。
0 件のコメント:
コメントを投稿