Hacknite Wiki

User Tools

Site Tools

Trace: vigenere_sifra tajni_chat malware_analiza_-_primjeri web_nemoguca_misija cezar_sifra
malware_analiza_-_primjeri

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
malware_analiza_-_primjeri [2025/06/05 14:43] ppalemalware_analiza_-_primjeri [2025/12/01 11:40] (current) – external edit 127.0.0.1
Line 31: Line 31:
 {{malwareanalysisprimjer:slika1.png}} {{malwareanalysisprimjer:slika1.png}}
  
-Ispis naredbe prikazuje da je datoteka formata Portable Execeutable (PE) i da je 64-bitna.+Ispis naredbe prikazuje da je datoteka formata Portable Executable (PE) i da je 64-bitna.
  
-Kako bi se saznalo više informacija o datotecimože se koristiti alat „Detect it Easy (DiE)“ koji je dostupan ovdje: https://github.com/horsicq/Detect-It-Easy+Više informacija o datoteci može se saznati alatom „Detect it Easy (DiE)“ koji je dostupan ovdje: https://github.com/horsicq/Detect-It-Easy
  
 Alat se može instalirati slijedeći upute dostupne na stranici i može se koristiti i na Windows i na Linux operacijskom sustavu.   Alat se može instalirati slijedeći upute dostupne na stranici i može se koristiti i na Windows i na Linux operacijskom sustavu.  
-Nakon instalacije i pokretanja alata, alat se može pokrenuti i njime se može analizirati datoteka skripta.exe. Prikaz korištenja alata za analizu datoteke prikazan je na slici 2.+Nakon instalacije i pokretanja alata, alat se može pokrenuti i njime se može analizirati datoteka skripta.exe. Prikaz korištenja alata za analizu datoteke je na slici 2.
  
 {{malwareanalysisprimjer:slika2.png}} {{malwareanalysisprimjer:slika2.png}}
Line 43: Line 43:
 Sljedeći korak je „dekompajliranje“ odnosno ekstrakcija AutoIt skripte iz originalne datoteke skripta.exe. Sljedeći korak je „dekompajliranje“ odnosno ekstrakcija AutoIt skripte iz originalne datoteke skripta.exe.
  
-Neki od alata s ovom namjenom su  Exe2Aut, myAut2Exe i AutoIt-Ripper.+Neki od alata s ovom namjenom suExe2Aut, myAut2Exe i AutoIt-Ripper.
  
 Exe2Aut podržava samo ekstrakciju AutoIt skripti iz 32-bitnih PE datoteka i nekad izvršava dijelove skripti pri ekstrakciji, pa je jako bitno da se izvršava u izoliranom okruženju. Exe2Aut podržava samo ekstrakciju AutoIt skripti iz 32-bitnih PE datoteka i nekad izvršava dijelove skripti pri ekstrakciji, pa je jako bitno da se izvršava u izoliranom okruženju.
  
-myAut2Exe je napredniji i bolji alat, podržava i ekstrakciji iz 64-bitnog PE formata, ne izvršava dijelove skripti pri ekstrakciji, ali je malo zahtjevniji za inicijalno postavljanje.+myAut2Exe je napredniji i bolji alat, podržava i ekstrakciju iz 64-bitnog PE formata, ne izvršava dijelove skripti pri ekstrakciji, ali je malo zahtjevniji za inicijalno postavljanje.
  
-AutoIt-Ripper je alat koji je najprikladniji za analizu u ovom primjeru, vrlo je jednostavan za instalaciju – instalira se kao Python paket i može se jednostavno koristiti putem komandom sučelja. Također AutoIt-Ripper koristi myAut2Exe kao jedan od resursa. Može se pronaći ovdje:+AutoIt-Ripper je najprikladniji alat za analizu u ovom primjeru, vrlo je jednostavan za instalaciju – instalira se kao Python paket i može se jednostavno koristiti putem komandnog sučelja. TakođerAutoIt-Ripper koristi myAut2Exe kao jedan od resursa. Može se pronaći ovdje:
 https://github.com/nazywam/AutoIt-Ripper https://github.com/nazywam/AutoIt-Ripper
  
Line 59: Line 59:
 </code> </code>
  
-koja kao prvi argument uzima datoteku iz koje će AutoIt skripta biti ekstraktirana, a kao drugi argument uzima izlazni direktorij u koji će smjestiti ekstraktiranu skriptu+koja kao prvi argument uzima datoteku iz koje će AutoIt skripta biti izvađena, a kao drugi argument uzima izlazni direktorij u koji će ju smjestiti. 
-Pokretanjem naredbe, u navedenom direktoriju je uspješno ekstraktirana skripta script.au3. +Pokretanjem naredbe, u navedenom direktoriju je uspješno ekstrahirana skripta script.au3. 
-Pregledom datoteke script.au3 može se vidjeti potpuni izvorni kod programa. Nad njime je potrebno dohvatiti IP adresu i port koji se koristi u programuPošto program sadrži tri tisuće linija, ručna pretraga nije nego je bolji pristup korištenje regex izraza+Pregledom datoteke script.au3 može se vidjeti potpuni izvorni kod programa. U njemu treba naći IP adresu i port koje koristi. S obzirom da program čini tri tisuće linija programskog kodaumjesto "ručnog" pregledavanja bolje je koristiti regex izraze
-Primjer bash naredbe koja nad kodom datoteke script.au3 regex izrazom pretražuje linije u kojima se pojavljuje domena, IP adresa ili IP adresa s portom je sljedeća:+Primjer bash naredbe koja u kodu datoteke script.au3 regex izrazom pretražuje linije u kojima se pojavljuje domena, IP adresa ili IP adresa s portom je sljedeća:
  
 <code> cat script.au3 | grep -E '([a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}|https?://[a-zA-Z0-9./?=_-]*|([0-9]{1,3}\.){3}[0-9]{1,3}(:[0-9]{1,5})?)' </code> <code> cat script.au3 | grep -E '([a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}|https?://[a-zA-Z0-9./?=_-]*|([0-9]{1,3}\.){3}[0-9]{1,3}(:[0-9]{1,5})?)' </code>
Line 68: Line 68:
 Pokretanjem ove naredbe bit će ispisana linije koda u kojima su definirane IP adresa i port koji se koristi, koji su ujedno i rješenje zadatka. Pokretanjem ove naredbe bit će ispisana linije koda u kojima su definirane IP adresa i port koji se koristi, koji su ujedno i rješenje zadatka.
  
-===PRIMJER -Zadatak s Hacknite platforme –  Spear phishing===+===PRIMJER - Zadatak s Hacknite platforme –  Spear phishing===
  
 <file> <file>
Line 78: Line 78:
 Uz zadatak su dostupne i datoteke  flag.hacknite2023.encrypted i rezultati-ispita-drzavne-mature.docx. Uz zadatak su dostupne i datoteke  flag.hacknite2023.encrypted i rezultati-ispita-drzavne-mature.docx.
  
-Ovdje nema nikakve naznake bi li se trebala koristit statička ili dinamička analiza. Nakon postavljanja skinutih datoteka u sigurno okruženje može se započeti s analizom. +Ovdje nema nikakve naznake bi li se trebala koristiti statička ili dinamička analiza. Nakon postavljanja preuzetih datoteka u sigurno okruženje može se započeti s analizom. 
-Pregledom datoteke može se utvrditi da je ona Microsoft Word 2007+ dokument, kao što i naznačuje ekstenzija .docx. Microsoft Word dokumenti mogu se raspakirati koristeći 7z, WinRAR, bash unzip ili nekim drugim alatom, jer Microsoft Word dokumenti koriste ZIP kompresiju. Nakon raspakiravanja, može se vidjeti veći broj XML datoteka koji su sastavi dio Word dokumenata nad kojima se onda može vršiti daljnja analiza yara pravilima ili pretraživati regexima kako bi se nastavilo sa statičkom analizom.+Pregledom datoteke može se utvrditi da je ona Microsoft Word 2007+ dokument, kao što i naznačuje ekstenzija .docx. Microsoft Word dokumenti mogu se raspakirati koristeći 7z, WinRAR, bash unzip ili nekim drugim alatom, jer Microsoft Word dokumenti koriste ZIP kompresiju. Nakon raspakiravanja, može se vidjeti veći broj XML datoteka koji opisuju sadržaj i oblik Word dokumenata nad kojima se onda može vršiti daljnja analiza yara pravilima ili pretraživati regexima kako bi se nastavilo sa statičkom analizom.
 Nakon prvih par koraka utvrđivanja tipa datoteke statičkom analizom, može se napraviti inicijalna dinamička analiza datoteke kako bi se utvrdilo koji pristup daje bolje rezultate i na što bi se trebalo fokusirati. Danas su dostupni korisni i napredni online alati za statičku i dinamičku analizu. Detaljnije objašnjena dinamička analiza korištenjem online alata VirusTotal dostupna je u dokumentu Osnovna analiza zlonamjernog softvera pomoću online alata  na linku: Nakon prvih par koraka utvrđivanja tipa datoteke statičkom analizom, može se napraviti inicijalna dinamička analiza datoteke kako bi se utvrdilo koji pristup daje bolje rezultate i na što bi se trebalo fokusirati. Danas su dostupni korisni i napredni online alati za statičku i dinamičku analizu. Detaljnije objašnjena dinamička analiza korištenjem online alata VirusTotal dostupna je u dokumentu Osnovna analiza zlonamjernog softvera pomoću online alata  na linku:
 https://www.cert.hr/wp-content/uploads/2019/07/analiza_zlonamjernog_softvera_online_alatima.pdf https://www.cert.hr/wp-content/uploads/2019/07/analiza_zlonamjernog_softvera_online_alatima.pdf
-Pod poglavljem Analiza zlonamjernog softvera alatom VirusTotal, mogu se pronaći upute i objašnjena za korištenje alata VirusTotal dostupnog na linku:+U poglavlju "Analiza zlonamjernog softvera alatom VirusTotal", mogu se pronaći upute i objašnjena za korištenje alata VirusTotal dostupnog na linku:
 https://www.virustotal.com/ https://www.virustotal.com/
-Kako bi iskoristili spomenuti alat za analizu Word datoteke u zadatku, datoteka rezultati-ispita-drzavne-mature.docx se uploada na ovaj URL:+Kako bi iskoristili taj alat za analizu Word datoteke u zadatku, datoteka rezultati-ispita-drzavne-mature.docx se uploada na ovaj URL:
 https://www.virustotal.com/gui/home/upload https://www.virustotal.com/gui/home/upload
    
-Nakon uploada filea i pokretanja analize, vidi se da je velik broj antivirusnih programa detektirao datoteku kao malicioznu. Na stranici su dostupni i drugi izbornici osim inicijalnog izbornika „Summary“ koji sadrže više informacija o zloćudnoj datoteci. Pod izbornikom „Behaviour“, može se vidjeti da je detektirano korištenje CVE-2021-40444 napada. Ovo je prikazano na slici 3.+Nakon uploada datoteke i pokretanja analize, vidi se da je velik broj antivirusnih programa detektirao datoteku kao malicioznu. Na stranici su dostupni i drugi izbornici osim inicijalnog izbornika „Summary“ koji sadrže više informacija o zloćudnoj datoteci. Pod izbornikom „Behaviour“, može se vidjeti da je detektirano korištenje CVE-2021-40444 napada. Ovo je prikazano na slici 3.
  
 {{malwareanalysisprimjer:slika3.png}} {{malwareanalysisprimjer:slika3.png}}
Line 112: Line 112:
 </code> </code>
  
-Pokretanjem curl naredbe i analizom dohvaćenog HTML-a, može se uočiti Base64 enkodirani payload u <script> elemntu prikazan na slici 7.+Pokretanjem curl naredbe i analizom dohvaćenog HTML-a, može se uočiti Base64 enkodirani payload u <script> elementu prikazan na slici 7.
  
 {{malwareanalysisprimjer:slika7.png}} {{malwareanalysisprimjer:slika7.png}}
Line 126: Line 126:
 {{malwareanalysisprimjer:slika8.png}} {{malwareanalysisprimjer:slika8.png}}
  
-Vidi se da su naredbe koje PowerShell pokreće također u Base64 formatu, pa je potrebno još jedanput ponoviti postupak.+Vidi se da su naredbe koje pokreće PowerShell također u Base64 formatu, pa je potrebno još jedanput ponoviti postupak.
 <code> <code>
 echo "JABmAGkAbABlACAAPQAgACIAZgBsAGEAZ…" | base64 -d echo "JABmAGkAbABlACAAPQAgACIAZgBsAGEAZ…" | base64 -d
 </code> </code>
-Sada se mogu vidjeti naredbe koje PowerShell izvršava, prikazano na slici 9.+Sada se mogu vidjeti naredbe koje izvršava PowerShell, prikazano na slici 9.
  
 {{malwareanalysisprimjer:slika9.png}} {{malwareanalysisprimjer:slika9.png}}
Line 138: Line 138:
  
 Analizom naredbi, može se uočiti da payload koristeći definirani password ( $password =  …) enkriptira datoteku flag.hacknite2023 koristeći bitwise XOR (-bxor). Analizom naredbi, može se uočiti da payload koristeći definirani password ( $password =  …) enkriptira datoteku flag.hacknite2023 koristeći bitwise XOR (-bxor).
-Pošto je XOR simetrična operacija, ako ponovno iskoristimo isti XOR algoritam s istim passwordom nad enkriptiranom datotekom, datoteka će biti dekriptirana i vraćena u originalno stanje.+Pošto je XOR simetrična operacija, ako ponovno iskoristimo isti XOR algoritam s istim passwordom nad enkriptiranom datotekom, datoteka će biti dekriptirana i vraćena u izvorno stanje.
 Pokretanjem PowerShella, pozicioniranjem u direktorij u kojemu se nalazi enkriptirana datoteka flag.hacknite2023.encrypted te preimenovanjem enkriptirane datoteke u „flag.hacknite2023“, koji je naziv originalne datoteke koju je zloćudna datoteka enkriptirala, može se ponovno pokrenuti ista PowerShell skripta na slici 7. koja će ovog puta ponavljanjem XOR operacije s istim passwordom dekriptirati enkriptiranu datoteku, te će zapisati enkriptiranu datoteku u „flag.hacknite2023.encrypted“. Nakon pokretanja skripte, flag.hacknite2023 će biti dekriptiran i u njemu će se nalaziti flag. Pokretanjem PowerShella, pozicioniranjem u direktorij u kojemu se nalazi enkriptirana datoteka flag.hacknite2023.encrypted te preimenovanjem enkriptirane datoteke u „flag.hacknite2023“, koji je naziv originalne datoteke koju je zloćudna datoteka enkriptirala, može se ponovno pokrenuti ista PowerShell skripta na slici 7. koja će ovog puta ponavljanjem XOR operacije s istim passwordom dekriptirati enkriptiranu datoteku, te će zapisati enkriptiranu datoteku u „flag.hacknite2023.encrypted“. Nakon pokretanja skripte, flag.hacknite2023 će biti dekriptiran i u njemu će se nalaziti flag.
 Također, mogu se i jednostavno promijeniti argumenti ulazne i izlazne datoteke PowerShell skripte umjesto preimenovanja enkriptirane datoteke. Također, mogu se i jednostavno promijeniti argumenti ulazne i izlazne datoteke PowerShell skripte umjesto preimenovanja enkriptirane datoteke.
malware_analiza_-_primjeri.1749134604.txt.gz · Last modified: 2025/12/01 11:40 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki