Embrin98
Опытный user
- Регистрация
- 27 Май 2021
- Сообщения
- 810
- Реакции
- 28
Всем привет.
Мы знаем, что такие вирусы обычно находятся почти что всегда в оперативной памяти вашего компьютера, в последствии для нашего инструмента будут легки в обнаружении.
Многие знают, что ратники,майнеры, находятся обычно всегда в "активности", но на их сокрытие могут использоваться несколько средств, таких как: закрытие билда при включении пользователем различных утилит, как диспетчер задач, процессхакер и тому подобные, следовательно, их обнаружение значительно усложняется, есть еще более хитрые процессы, они инжектят себя в другой совершенно процесс: хром, свцхост и так далее, что делает их почти что нереальными для обнаружения.
Немного поговорим об intezer:
Intezer - это сайт, предоставляющих свои технологии для обнаружения различных угроз как ваших одиночных файлов, так и сканирования всей цепочки файлов в вашей оперативе, посредством создания дампа и дальнейшего его анализа. Сайт использует свои облачные технологии и методы (а не привычный нищий скантайм, который уже обходит любой крипт чуть ли не за 5 долларов), что усложняет жизнь вашему вирусу, который достаточно хорошо скрыт.
Вид главной страницы сайта:
![[IMG]](https://i.imgur.com/xNYxc0m.png "[IMG]")
Регистрация на сайте довольно простая, поэтому объяснять я ее не буду, все делается достаточно просто по этой ссылке: https://analyze.intezer.com/create-account
В чем же основная суть данного сайта? Данный проект предоставляет нам доступ к утилите, которая легко, сканируя всю память на своих виртуальных машинах, посредством анализа, определяет, как ведет себя файл и выявляет в нем угрозу, причем, файл определяет также и DLL, которые могут скрыто инжектить себя в безобидные процессы.
Endpoint Analyze:
![[IMG]](https://i.imgur.com/5QBNa2V.png "[IMG]")
1) Переходим по этой ссылке https://analyze.intezer.com/scan?tab=endpoint
2) Нажимаем на кнопку Scan Endpoint
3) Нас перекидывает на следующую страницу:
![[IMG]](https://i.imgur.com/cNLsaFK.png "[IMG]")
*Как же все это работает?
Сканирование: Сканер собирает работающий код из памяти и отправляет его в Intezer Analyze. Сканирование занимает примерно пять-десять минут. Первое сканирование может занять больше времени. Обратите внимание: сканер собирает только исполняемый код, а не документы или любые другие данные, которые не являются двоичным кодом.
Анализ: Собранные модули анализируются с помощью технологии Genetic Malware Analysis.
Просмотр результатов: Система предоставляет отчет об анализе конечной точки
4) Скачиваем Endpoint Scanner по кнопке
![[IMG]](https://i.imgur.com/1cHjVvL.png "[IMG]")
Итак, перейдем к основной сути, мы рассмотрим все на примере угрозы майнера, который скрывается при открытии задач, можно заметить, что при открытии особой нагрузки в диспетчере задач не наблюдается, следовательно, создается чувство, что все безопасно, но мы скачаем и запустим нашу утилиту.
![[IMG]](https://i.imgur.com/cJJg7LY.png "[IMG]")
5) После установки у нас есть такой файл
![[IMG]](https://i.imgur.com/MqxfpjO.png "[IMG]")
6) Запускаем его, затем появляется такая консоль
![[IMG]](https://i.imgur.com/E8HpI1g.png "[IMG]")
7)Заходим на https://analyze.intezer.com/account-details и жмем кнопку generate api key
![[IMG]](https://i.imgur.com/FPGocQH.png "[IMG]")
8) Берем и вставляем его в программу и видим, что все работает.
![[IMG]](https://i.imgur.com/08OhX2e.png "[IMG]")
9) Затем переходим по этой ссылке https://analyze.intezer.com/history?tab=endpoint
И видим свой анализ
![[IMG]](https://i.imgur.com/0lXP0u7.png "[IMG]")
10) Анализируем!
![[IMG]](https://i.imgur.com/vW5c1DH.png "[IMG]")
11) Как видите, это склейка малваря Amadey, который был внедрен в системный процесс conhost, плюсом еще одного неизвестного файла ss31, хотя казалось, что вроде как диспетчер задач чистый.
12) Тут показывается полная информация о нем (просто кликните на процесс), где и как файл хранится, что он пытался делать, как взаимодействовал
![[IMG]](https://i.imgur.com/Ox2LJdx.png "[IMG]")
На этом статья окончена, спасибо за чтение, надеюсь, что это будет как-то да полезно вам.
Мы знаем, что такие вирусы обычно находятся почти что всегда в оперативной памяти вашего компьютера, в последствии для нашего инструмента будут легки в обнаружении.
Многие знают, что ратники,майнеры, находятся обычно всегда в "активности", но на их сокрытие могут использоваться несколько средств, таких как: закрытие билда при включении пользователем различных утилит, как диспетчер задач, процессхакер и тому подобные, следовательно, их обнаружение значительно усложняется, есть еще более хитрые процессы, они инжектят себя в другой совершенно процесс: хром, свцхост и так далее, что делает их почти что нереальными для обнаружения.
Немного поговорим об intezer:
Intezer - это сайт, предоставляющих свои технологии для обнаружения различных угроз как ваших одиночных файлов, так и сканирования всей цепочки файлов в вашей оперативе, посредством создания дампа и дальнейшего его анализа. Сайт использует свои облачные технологии и методы (а не привычный нищий скантайм, который уже обходит любой крипт чуть ли не за 5 долларов), что усложняет жизнь вашему вирусу, который достаточно хорошо скрыт.
Вид главной страницы сайта:
Регистрация на сайте довольно простая, поэтому объяснять я ее не буду, все делается достаточно просто по этой ссылке: https://analyze.intezer.com/create-account
В чем же основная суть данного сайта? Данный проект предоставляет нам доступ к утилите, которая легко, сканируя всю память на своих виртуальных машинах, посредством анализа, определяет, как ведет себя файл и выявляет в нем угрозу, причем, файл определяет также и DLL, которые могут скрыто инжектить себя в безобидные процессы.
Endpoint Analyze:
1) Переходим по этой ссылке https://analyze.intezer.com/scan?tab=endpoint
2) Нажимаем на кнопку Scan Endpoint
3) Нас перекидывает на следующую страницу:
*Как же все это работает?
Сканирование: Сканер собирает работающий код из памяти и отправляет его в Intezer Analyze. Сканирование занимает примерно пять-десять минут. Первое сканирование может занять больше времени. Обратите внимание: сканер собирает только исполняемый код, а не документы или любые другие данные, которые не являются двоичным кодом.
Анализ: Собранные модули анализируются с помощью технологии Genetic Malware Analysis.
Просмотр результатов: Система предоставляет отчет об анализе конечной точки
4) Скачиваем Endpoint Scanner по кнопке
Итак, перейдем к основной сути, мы рассмотрим все на примере угрозы майнера, который скрывается при открытии задач, можно заметить, что при открытии особой нагрузки в диспетчере задач не наблюдается, следовательно, создается чувство, что все безопасно, но мы скачаем и запустим нашу утилиту.
5) После установки у нас есть такой файл
6) Запускаем его, затем появляется такая консоль
8) Берем и вставляем его в программу и видим, что все работает.
9) Затем переходим по этой ссылке https://analyze.intezer.com/history?tab=endpoint
И видим свой анализ
10) Анализируем!
11) Как видите, это склейка малваря Amadey, который был внедрен в системный процесс conhost, плюсом еще одного неизвестного файла ss31, хотя казалось, что вроде как диспетчер задач чистый.
12) Тут показывается полная информация о нем (просто кликните на процесс), где и как файл хранится, что он пытался делать, как взаимодействовал
На этом статья окончена, спасибо за чтение, надеюсь, что это будет как-то да полезно вам.
