Microsoft Partner Network

TechEd2012: Malware Hunting with Sysinternals Tools

Christian-Decker   28. Juni 2012 16:27 Kommentare (0) Tags:

Mark Russinovich

 

During  4Q11, 33 % of Web malware encountered was zero-day malware, die nciht von signature-based AV Lösungen erkannt wurde

Cisco 4Q11 Global Threat Report

 

Sysinternals Anti-virus – don´t use - it´s not from Sysinternals

 

Malware Cleaning Steps:

 

Disconnect from network

Identify malicious processes and drivers

Prozesse, die kein Icon haben, keien Beschreibung haben, keinen Firmennamen, unsigned MS images, sind im Windows Directory oder User Profile, sind gepackt, haben komische URLs im String, haben offene TCP/IP endpoints, haben verdächtige DLLs or servcies

Taskmanager ist nett, aber bringt zu weing Infos

Process Explorer ist der SUper Task Manager

hat einen Prozess Tree – zeigt mir die Abhängigkeiten von Prozessen und ich sehe child prozesse von virenprozesse

ich sehe dort auch den Cmopany name und wenn ich mit der Maus drüberfahre sehe ich auch die Commandline udn den Pfad

ich habe oben ein Bulls Eye – wenn ich wissen will, welcher Prozess ein Window gemacht hat, kann ich das mit dem machen

Rechte Maustaste und Search online – startet meine Suchmaschien und zeigt mir INfos zu dem Prozess – wird immer nutzloser, weil die Namen immer öfter zufällig gemacht werden

refresh highlited – was hat sich verändert – spacebar to pause and unpause

Farben im Process Explorer – ping: Hosting Windows Service, Blue – laufen im gleichen Sec-Kontext wie der Process Explorer;  Purple: sind gepackt – üblich für Malware

rundll32.exe – MS app, in den Tooltipps sehe ich, welche App dort ´gehostet wird

Process Timeline: heir sehe ich, was früher und später gestartet wurde

doppelklcik auf einen Prozess bringt nähere Infos – Build Time z.b. , TCP/IP – Open Ports, Strings – Memory and File

check, on das file eine valide Signature hat – alle files von MS sind digital signiert

Wenn ich files suche auf der ganzen Platte: sigcheck –e –u *  - untersucht alle Files, die executable sind – und zeigt mir alle unsigned files, die ausführbar sidn

listdlls –u   checkt das für alle loaded dlls

dll-view  zeigt mir die DLLs – add the verified signer – suche nach den unsigned

terminate identified processes

don´t kill them – put them to sleeping first (suspend)

Identify and delete malware autostarts

msconfig – zeigt nur wenig, nicht alles

autoruns besser – zeigt alle orte, die konfiguriert werden können, wo autostart passieren kann

Yello = File not present

Filter: Hide Stuff von MS, verify code signatures – zeigt nur sachen die nicht gesigned sind oder falsch gesigned sind

nicht löschen die Einträge, sondern disablen

delete malware files

reboot and repeat

 

 

Trace Malware Acitvity

ProcessMonitor

filtern: rechtklick exclude, inculde, …

key filter ist: Category = Write  - zeigt mir alles, was changes am System macht

process tree – zeigt mir alle änderungen, die während des Traces passiert sind

 

Real World cases

langsamer Start, langsamer Rechner, alle Sysinternals Tools sind nicht gelaufen

try desktops – im zweiten Desktop konnten sie die tools laufen lassen

dort haben sie gesehen, dass ein Prozess einen RegKey beschreibt, haben die DLL gefunden, die das macht, haben die gecleant, sauber

 

Coole Session . sehr humorvoll…

 

Christian.live aus Amsterdam

Kommentar schreiben

biuquote
  • Kommentar
  • Live Vorschau
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies