Ransomware tesztelése

 ( eszement | 2017. február 5., vasárnap - 13:32 )

Sziasztok!

Biztonsági szoftvert kellene finomhangolnom, és tesztelnem. Tud-e valaki olyan megoldást, hogy egy ransomware-t, lehessen futtatni, viszonylag "ellenőrzött" körülmények között (egyetlen gép azon a hálózaton, nincs átjárás a másik hálózatra, olyan dolgok vannak rajta, amik mehetnek a levesbe, hogy ha letitkosítja..stb), egyáltalán hogy lehet hozzájutni tudatosan egy ilyen fertőzéshez? :) Az adott program a Spora ransomware-t nem detektálta, míg a szoftver mérnökei szerint képes rá, hogy ha megfelelően van beállítva. Lehetőleg azt próbálnám beszerezni (egy cseh mozdonygyártó oldalát fertőzték meg vele, ahova később visszalátogatva, már ki is javították a hibát), ami nem biztos, hogy egyszerű feladat.

A sandbox nem jöhet szóba, mert sok kártevő érzékeli, hogy sandboxban fut és nem fog működni.

KKV-s környezetben dolgozom, így a nagyipari megoldások itt nem játszanak.

Köszi :)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

"A sandbox nem jöhet szóba, mert sok kártevő érzékeli, hogy sandboxban fut és nem fog működni."

Erre vannak technológiák. Érdemes ingyenes sandboxokkal tenni egy próbát azért... Valószínűleg jobban fel vannak készülve teljesen elzárt hálózattal, elkülönített adattárolással, stb.

A hybrid-analytics belebukik,kézzel kell rásegíteni. :)

Amúgy is milyen JS downloader az aminek a működéséhez még MS Office is kell... (szerintem ezek nem is akarnak pénzt :))

A topicot feléleszteném, mert a tárgy éppen megfelel:

Kaptam ma DHL-től meglehetősen magyar nyelvű levelet, a melléklet 350kb-os pdf. A Virustotal "full clean"-re teszi. - De nekem gyanús. Nem érdekel valakit, mert szívesen átadnám...?
:)

Engem érdekel. Kérlek, küldd el!

Ilyen esetben az email header átvizsgálása sokat tud segíteni - bár legitim dhl levélben is jöhet épp az áldás.

Szia

Megtennéd hogy elküldöd a

-ra? zip vagy rar fájlban jelszóval védve

Köszi

--
ESET és Synology hivatalos viszonteladó

Nem vírusos a csatolmány. Egy Word 2016-os docx-ből konvertált pdf, amiben egy url van. Az URL-t VirtualBoxos Win8 RTM, Internet Explorerrel megnyitva egy webform fogadott, ami email címet várt. Honeypot postafiók címét megadva nem jött e-mail, itt kiszálltam.

https://fisheyfresh.c_o_m/DHLReceipt/DHL1482017/DHL/Exp/index.html

Tisztelt Ügyfelünk,

A megrendelő által küldött csomagot az irodánkba érkezett. Kérjük, kérjük, ellenőrizze a mellékelt (Check Your Package) -ot
ennek megfelelően erősítse meg, hogy a cím helyes-e, mielőtt elküldenénk az értékesítő tisztviselőnek a rendeltetési helyre történő feladáshoz.

Expedíciós osztály
DHL EXPRESS

Sajnos, közben pár napig nem voltam gépközelben, - későn olvastam, - de ha legközelebb gyanús, elsőnapinak tűnő "cucc"-ot találok az általam felügyelt gépek valamelyikén , - és ha nem tartjátok rossz ötletnek, - akkor az általatok most megadott mailcímekre kérdezés nélkül el fogom küldeni.

Megjegyzem, az elmúlt pár évben viszonylag ritkán kellett "riadót fujnom". Védem és folyamatosan frissítem a Windows-os munkarendszereket.

(Ahol lehet, - azaz nem nagyon éles környezetben, - használok teszt jelleggel alapvetően "háborítatlan" rendszert is. Kíváncsi vagyok az így kialakuló, biztonsági szempontból hátrányosnak tekintett rendszereket ért támadások mennyiségére. - Persze a "kezem alól" csak user-módban használnak gépeket, és a rendszergazda jelszó nem "publikus kulcs".)

Ha már így felélesztetted:

Qubes OS,
+ (network nélküli) disposable VM - Linux célpont esetén,
ha Windows a célpont akkor network nélküli HVM - amit utána törölsz.

Egy ilyen környezetben bátran el lehet engedni bármilyen vírust és/vagykártevőt - kivéve ami Xen exploitokat használ ;)

--
zrubi.hu

És ez utóbbit honnan tudnánk biztosan?

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Ahhoz kell a bátorság része.

Na, ez nem volt bennem, sőt kíváncsiság sem. - (bár zfs-en vagyok, de a legutóbbi frissítés után lusta voltam a VBox-ot rendbe tenni.. Ilyenkor esetleg jól jönne. - Amilyen fejlett rendszer-elemzőképességgel és rejtőző képességgel fejlesztett trójai férgek vannak manapság, jobb az azonnali törlés, mint az ismerkedés.)

Szerintem a gyakorlatban igen ritka az, amikor te látod/elemzed először az adott vírust/kártevőt... szóval azért nagyjából tudod mire számíts.

Ha mégis így lenne, akkor meg már biztosan megvan erre a saját tesztlaborod ;)

--
zrubi.hu

UP
Kaptam ma egy német .doc "számlát". Gmail simán átengedte, valaki akar tesztelni vele?

nem teszt.
elesben megy a jatek.
ha valami hexa viewerrel belenezel, fogadjunk, hogy zip headere van, a belseje meg docx

--
HUP te Zsiga !

inkább ne fogadjunk :)
csak sima doc, valami vb script makró van benne.

szerk: úgy látom valami új fajta cucc
https://www.virustotal.com/hu/file/3c66d88f7e67e066b4ee9d961c94a03d80d78360bb0f53150104a7a8c5a08ff4/analysis/

ujfajta ?
mar biztos kiment parszazmillio cimre.
inkabb a viruskergetes mint olyan nemigazan van a toppon.

--
HUP te Zsiga !

a legjobb tesztkörnyezet: régi gépekből/eszközökből összetákolt hálózat

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

ftp://pvtv.hu/../erdely_1/Photo.scr

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

up, megint jött valami érdekes.: .accdr
rövid googlizás szerint ez valami readonly módba tett futtatható access db. érdekel esetleg valakit? (virustotal-on mindegyik szoftver clean-nek jelezte)