தீம்பொருள்பெட்டிகளின்(MalwareBoxes) வாயிலான தீம்பொருள் பகுப்பாய்வு மிகவும்எளிதாகும்

 

‘நீங்கள் லாட்டரியை வென்றுள்ளீர்கள்’ அல்லது ‘விருது பெறத் தேர்ந்தெடுக்கப் பட்டுள்ளீர்கள்’ போன்ற  செய்திகளை மின்னஞ்சல் மூலம் பெறுவதை கற்பனை செய்து பார்த்திடுக. ஆனால் இவ்வாறான நம்முடைய பேராசையை தூண்டிடும் மின்னஞ்சலை திறந்தவுடன், நம்முடைய முக்கியமான அத்தியாவசியகோப்புகள் அனைத்தும் மறையாக்கம் செய்யப் பட்டிருப்பதை உணர்ந்து, அவற்றை மீண்டும் நாம் திரும்பப் பெற 1,000 அமெரிக்க டாலர்களுக்கு மேல் அதை  மீட்பதற்கான தொகை நம்மிடம் கோரப்படுகிறது. மே 12, 2017 அன்று முதலில் தோன்றிய உலகளாவிய ransomware எனும் தாக்குதலான WanaCrypt0r என்பதால் பாதிக்கப் பட்டவர்களுக்கு இதுதான் நடந்தது.

இத்தகைய தீங்கிழைக்கும் கோப்புகளின் தன்மையைப் புரிந்துகொள்வது மிகவும் முக்கியமானசெயலாகும். இவ்வாறான தீம்பொருளை பகுப்பாய்வு செய்வதுஎன்பது வெடிகுண்டுகளை செயலிழக்கச் செய்வதைப் போன்றது, ஏனெனில் கணினி பயனாளர்களுக்கு தீங்கு விளைவிக்கின்ற அல்லது உளவு பார்ப்பதற்காக வடிவமைக்கப்பட்ட தீம்பொருள் மென்பொருளை சிதைப்பது , புரிந்து கொள்வது ஆகியவை இதன் இலக்காகும். பகுப்பாய்வை கடினமாக்குவதற்கு இந்த தீம்பொருளின் நிரல்ஆனது அடிக்கடி குழப்பமடையச் செய்கிறது (அதாவது, கட்டமைப்பு முழுமையாக்க பட்டதாக்கு கின்றது).

தீம்பொருள் பின்வரும் செயல்களில் ஏதேனும் ஒன்றினை அல்லது அனைத்தையும் செய்யும் திறனைக் கொண்டுள்ளது.

பொருத்துதலின் payload அல்லது மாறுபாடுகள்:தீம்பொருள் துறையில், இது பாதிக்கப்பட்டவரின் கணினியை தாக்க வடிவமைக்கப்பட்ட நச்சுயிர், worm, அல்லது Trojan ஆகியவற்றினை செருகுவதைக் குறிக்கிறது.

தீம்பொருள் நடத்தை, குறியீடு தெளிவற்றது:தீம்பொருள் தெளிவின்மை என்பது உரைவடிவிலான ,இருமஎண்(binary) வடிவிலான தரவுகளை புரிந்துகொள்வதை கடினமாக்கு கின்ற ஒரு தொழில்நுட்பமாகும். நச்சுயிர் தடுப்பு அதைக் கண்டறிவதை கடின மாக்குவதற்கும், குறைவான தீம்பொருளை வடிகட்டுவதற்கும் தாக்குபவர்கள் இத்தகைய முறைகளைப் பயன்படுத்துகின்றனர்.

இயக்கநேரபல்லுருப்பபெறல்(polymorphism):இது தீம்பொருளின் நிலையான இருமஎண் குறியீட்டை மாற்றுவதற்குப் பயன்படுத்தப்படும் குறியாக்க முறையாகும்.

உளவாளி(Spyware): இது பயனாளர் தன்னுடைய செயலி சரியாக செயல் படுகின்றதாவெனக் கவனித்துகொண்டிருக்கும் போது, பயனாளருக்குத் தெரியாமல், அவருடைய சாதனத்தைபற்றியும்  பயனாளரைப் பற்றியுமான தகவலையும் தரவுகளையும் சேகரிக்கிறது.

திறவுகோளைமுடக்குதல் (Keylogging): மின்னஞ்சல்கள், அணுகப்பட்ட இணையதளங்கள், பயன்பாடுகள்  விசை அழுத்தங்கள் உட்பட பயனாளரின் ஒவ்வொரு  செயல்பாடும் கண்காணிக்கப்படுகின்றது.

தீம்பொருள் பகுப்பாய்வின் தேவை

தீம்பொருளின் எந்தவொரு நிகழ்வையும்பற்றி முழுமையாக தீரவிசாரித்து அறிந்துகொள்வதற்காக தீம்பொருள் பகுப்பாய்வு முக்கியமானதாகும். இது நிலையான பகுப்பாய்வு இயக்கநேர பகுப்பாய்வுஆகிய இரண்டு வெவ்வேறு வழிகளில் மேற்கொள்ளப்படுகிறது – .

நிலையான பகுப்பாய்வு: இது எந்தவொரு இருமஎண் கோப்பையும் (இயக்கக்கூடியது) செயல்படுத்தாமல் பிரிப்பதற்கான எளிய வழியாகும்.

இயக்கநேர  பகுப்பாய்வு: இது உண்மையான உருவாக்கும் சூழலில் இருந்து பிரிக்கப்பட்ட தனிமைப்படுத்தப்பட்ட சூழலில் (sandbox) தீம்பொருளை செயல்படுத்துவதை உள்ளடக்கியது.

நிலையான பகுப்பாய்வு மூலம்  தீம்பொருளை எளிதாகக் கண்டறியலாம். எனவே இன்றையசூழலில் கணினியில் தாக்குதல் செய்பவர்கள் குறிமுறை வரிகளை மழுங்கடிக்க மேம்பட்ட நுட்பங்களையும், நிலையான கண்டறிதல் நுட்பங்களைக் கடந்து இயங்கக் கூடியவற்றையும் பயன்படுத்துகின்றனர், இது இயக்கநேரக் பகுப்பாய்வைப் பயன்படுத்துவதை கட்டாயமாக்குகிறது.

நம்முடைய நிறுவனம் தீம்பொருளால் தாக்கப்படுவதை தவிர்த்திடுவதற்காக, ஒரு நல்ல பாதுகாப்பு ஆலோசகரை பணியமர்த்துவதன் மூலம் அவ்வச்சுறுத்தல் நீக்கப்பட்டால், மற்றொரு தாக்குதலைத் தவிர்க்க  பின்வருவனவற்றைக் கவனிக்க வேண்டும்:

கணினியில் rootkit அல்லது Trojan   பொருத்துதலின் நிகழ்தகவு எவ்வாறு உள்ளது

அவச்சுறுத்தல் நீக்கப்பட்டுவிட்டதா?

நம்முடைய கணினியை தாக்குதல் செய்பவர் கணினியில் என்னென்ன மாற்றங்களைச் செய்தார்?

தாக்குதல் செய்பவர் கணினியின் பின்புலத்தினை எவ்வாறு அணுகினார்?

தீம்பொருள்பெட்டிகள்(Malboxes)

தீம்பொருள்பெட்டிகள்(Malboxes)என்பவை எந்தவொரு பயனாளரின் தலையீடும் இல்லாமலேயே விண்டோஇயக்கமுறைமையில் மெய்நிகர் இயந்திரங்களை (VMs) உருவாக்கும் ஒரு பயன்பாடாகும். தீம்பொருள் பகுப்பாய்வு கருவிகளுக்கான, VMகளுக்கான பாதுகாப்பு அமைப்புகள் தீம்பொருள் பற்றி ஆய்விற்காக அமைக்கப் பட்டுள்ளன.இவை தீம்பொருள் பகுப்பாய்விற்காக பாதுகாப்பானதும் சிறப்பானதுமான வசதிகளுடன் கூடிய விண்டோ செயல்படும் கணினிகளை உருவாக்க உதவுவதற்காக வடிவமைக்கப்பட்ட ஒரு கருவியாகவும்  குறிப்பிடப் படுகின்றன. இந்தக் கருவியை யாராலும் பயன்படுத்த முடியாது என்பது மட்டுமல்லாமல், நம்முடைய சொந்த உரிமம் நம்மிடம் இல்லையென்றால், விண்டோவின் சோதனைப் பதிப்புகளிலும் இது  நன்கு செயல்படும் திறன்மிக்கது.

Malboxes Windows 10 Enterprise மதிப்பீட்டிற்கான ஒரு மெய்நிகர் இயந்திர (VM) மாதிரிபலகத்தினை உருவாக்கி அதன் நகலை VM இன் மேசைக்கணினியில் பகிர்ந்துகொள்ளப்பட்ட தற்போதைய கோப்புறையுடன் தொடங்குகின்றது. இது அதன் மெய்நிகர் இயந்திரத்தில் கட்டமைக்கப்பட்ட பாதுகாப்பான தீம்பொருள் பகுப்பாய்வுக்கான கருவிகளின் தொகுப்புடன் வருகிறது.

தீம்பொருள்பெட்டியின் கட்டமைப்பு

தீம்பொருள்பெட்டிகள்ஆனவை பின்வரும் கூறுகளை ஒன்றாக இணைக்கின்றன:

ஒரு packer கட்டமைப்பு, விண்டோவில் கவனிக்கப்படாத நிறுவுகை கட்டமைப்பு, பாதுகாப்பு அம்சங்களை முடக்க PowerShell recipes (Defender, auto-updates, firewall, போன்றவை).Windows தொகுப்பு மேலாளர் Chocolatey ஐப் பயன்படுத்தி நிறுவப்பட்ட தீம்பொருள் பகுப்பாய்வு ,மையப்படுத்தப்பட்ட கருவிகளின் தொகுப்பு .நாடோடி (Vagrant) எனும் ஒரு கோப்பினை உருவாக்குபவர், இதனால் VMகளை நாடோடி(Vagrant) மூலம் நிர்வகிக்க முடியும்

மேலும் தீம்பொருள் பெட்டிகளான VM உடன் பின்வரும் கருவிகள் உருவாக்க செயல்முறையின் ஒரு பகுதியாக நிறுவப்பட்டுள்ளன.

WinDBG:விண்டோவின் பிழைத்திருத்தத்திற்கான நன்கு அறியப்பட்ட பெயர், இது வழக்கமான புதுப்பிப்புகளும் ,செயல்பாடுகளும் இணையத்தின்நேரடி ஆதரவை வழங்கு கிறது.இது ஒரு வரைகலை பயனாளர் இடைமுகத்தை (GUI) கொண்டுள்ளது, இது பிழைத்திருத்த வெளியீட்டையும், அடுக்குகளையும் பதிவுகளையும் காட்டுகிறது. உருவாக்கமையம் பயனாளரின் பயன்முறையில் நினைவக திணித்தல்களை ஆய்வு செய்ய பயன்படுகிறது.

முழுவதுமானஉள்ளகஅமைவு(Complete Sys internal)தொகுப்பு:இந்தக் கருவிகளின் தொகுப்பு Microsoft Technet இன் Sysinternals பகுதியில் இருந்து கட்டணமில்லாமல் பதிவிறக்கம் செய்யக்கூடிய Windows பயன்பாடுகளின் தொகுப்பைக் கொண்டுள்ளது. அவை அனைத்தும் கையடக்கமானவை, அதாவது அவை Flash drive இல் வைக்கப் பட்டு எந்த கணினியிலிருந்தும் பயன்படுத்திகொள்ளலாம்,  இதனை நிறுவுகை செய்திடுவதற்காக கணினியில் தேவையானவற்றை நீக்கம்செய்திடுகின்றது

Fiddler:கணினி இணைய சேவையகம்/கள் ஆகியவற்றிடையே HTTP , HTTPS போக்குவரத்தினை பதிவுசெய்தல், பகுப்பாய்வு செய்தல் மாற்ற அனுமதிக்கும் பிழைத்திருத்த பதிலாள் சேவையாளர் கருவியாக இதுதிகழ்கின்றது.

NPcap உடன் Wireshark (Windows 10 இணக்கமான winpcap மாற்றீடு):NPcap என்பது libpcapஎனும் நூலகத்தின் விண்டோவினுடைய பதிப்பாகும், இதில் கையடக்கமான பதிவு செய்திடும் இயக்கி உள்ளது. இந்த நூலகத்தை Windows இல் Wireshark நேரலை வலைபின்னலின் தரவைப் பதிவுசெய்ய பயன்படுத்திகொள்ளலாம்.

IDA எனும்முன்கூட்டியே Pro remote பபிழைதிருததி (புரவலர்  IDA Pro நிறுவப்பட்டிருந்தால்): ‘பிழைத்திருத்த சேவையகம்’ என்பது பிழைத்திருத்த பயன்பாட்டை இயக்குகின்ற கணினியாகும். நச்சுயிர்கள், ட்ரோஜான்கள், தீம்பொருட்களை பிழைத்திருத்தம் செய்ய, பிழைத்திருத்தி வாடிக்கையாளருடன் சமரசம் செய்யப்பட்ட கணினியிலிருந்து சாத்தியமான தூரத்தில் வைக்கப்படுகிறது.

விருந்தினர் இயக்க முறைமையில் பின்வரும் மாற்றங்கள் செய்யப்பட்டுள்ளன:

தானியங்கி புதுப்பிப்புகள் முடக்கப்பட்டுள்ளன

விண்டோவினுடைய Defender முடக்கப்பட்டுள்ளது

தீம்பொருள் பெட்டிகள்(Malboxes) ஏன்தேவைப்படுகின்றன?

பாதுகாப்பான சூழலில் தீம்பொருளை பகுப்பாய்வு செய்வது முக்கியமாகும். தீம்பொருள் பெட்டிகள், அதன் கருவிகளுடன், அதைச் செய்ய நமக்கு உதவுகிறது.

தீம்பொருள் பெட்டிகளின்பகுப்பாய்வு கருவித்தொகுப்பில் தேவையான அனைத்தையும் பின்வரும் வழியில் உருவாக்குகிறது:

1. பகுப்பாய்வுக்கான பாதுகாப்பான சூழலை உருவாக்கி ஒதுக்குகிறது

2. உற்பத்தி சூழலில் இருந்து கணினியை Sandboxes செய்கிறது

3. behaviour ,code ஆகிய பகுப்பாய்வு கருவிகளை நிறுவுகைசெய்கிறது

தவறான தீம்பொருள் பகுப்பாய்வு விளைவுகளைச் சமாளிக்க இந்த தீம்பொருள் பெட்டிகள் நமக்குஉதவுகின்றன, இவை உள்ளக தகவல், தயாரிப்புகள் அல்லது உரிமங்களின் கசிவு முதல் நிறுவனத்தின் IP முகவரிகளை அடையாளம் காண்பது முதல் பாதிக்கப்பட்ட கணினியிலிருந்து அழிக்கப்படுவது வரை இருக்கலாம்.

தீம்பொருள் பெட்டியில் Chocolatey உள்ளதால், பெரிய Chocolatey எனும் மென்பொருள் தொகுப்பு மேடையிலிருந்து எதையும் நிறுவுகைசெய்திடுவதற்காக ஒற்றையானக் கட்டளையைப் பயன்படுத்தலாம். தீம்பொருள் பெட்டிகளின் உள்ளமைவு கோப்பில், நிறுவுகைசெய்யப்பட்ட தொகுப்புகளின் இயல்புநிலை பட்டியலை தேவையெனில் மாற்றியமைத்திடலாம்.

தீம்பொருள் பெட்டிகளின் கருவிகளை முன்கூட்டியேபதிவேற்றி(preloaded) வருவதன் நன்மையை வழங்குகிறது  சில கட்டளைகளின் உதவியுடன் இவைகளை பயன்படுத்தி கொள்ளலாம், தனித்தனியாக இவற்றை நிறுவுகை செய்வதில் பல மணிநேர முயற்சியைத் தவிர்க்கலாம். தீம்பொருள் பெட்டிகள் பைதான் 3 ஐச் சுற்றி கட்டமைக்கப் பட்டுள்ளது மேலும் இவை Windows, Mac , Linux ஆகிய இயக்க முறைமைகளை ஆதரிக்கின்றன.

விண்டோ இயக்கமுறைமை செயல்படுகின்ற கணினியில் நிறுவுகைசெய்வதற்கான படிமுறைகள்

தேவைகள்:பைதான் 3.3+,Packer,நாடோடி(Vagrant) ,மெய்நிகர்பெட்டி(VirtualBox) அல்லது ஒரு vSphere/ESXi எனும் சேவையாளர் ஆகியவை அடிப்படையாக தேவைகளாகும்

இயந்திரகட்டமைப்பிற்கான குறைந்தபட்ச விவரக்குறிப்புகள் : குறைந்தபட்சம் 5ஜிபி ரேம் ,VT-X நீட்டிப்புகள் ஆகியவைகடுமையாகப் பரிந்துரைக்கப்படுகின்றன

மெய்நிகர்பெட்டியை(VirtualBox)  நிறுவுகைசெய்தல்: மெய்நிகர்பெட்டி(VirtualBox) என்பது நிறுவனத்திற்கும் வீட்டு உபயோகத்திற்குமான ஒரு சக்திவாய்ந்த x86ம் , AMD64/Intel64 உம் ஆன மெய்நிகராக்க தயாரிப்பு ஆகும்.  இது (Malboxes) இங்கே மெய்நிகர் இயந்திரம் இயங்குவதற்கு மீவுரையாளரை (hypervsor) வழங்குவதற்காக பயன்படுத்தப் படுகிறது. இங்கு மெய்நிகர்பெட்டி(VirtualBox) என்பது நிறுவன வாடிக்கையாளர்களுக்கு மிகவும் சிறப்பான வசதி கொண்ட, உயர் செயல்திறன் கொண்ட தயாரிப்பு மட்டுமல்லாது,(GPL) பதிப்பு 2 இன் விதிமுறைகளின் கீழ் திறமூல மென்பொருளாக கட்டணமில்லாமல் கிடைக்கும் ஒரே தீர்வாக அமைகின்றது.

Git , Python3:Git என்பது ஒரு கட்டணமற்ற, திறமூலமான விநியோகிக்கப்பட்ட பதிப்பு கட்டுப்பாட்டு அமைப்பாகும், இது சிறியசெயல்திட்டங்கள்முதல் மிகப்பெரிய செயல்திட்டங்கள் வரையில் விரைவாகவும்  செயல்திறனுடனுடம் கையாளு வதற்காக வடிவமைக்கப் பட்டுள்ளது. GitHub களஞ்சியத்திலிருந்து தீம்பொருள் பெட்டிகள் எனும் செயல்திட்டத்தை நகல்செய்ய இது பயன்படுகிறது. துனைபதிப்புகள், CVS ,Perforce போன்ற SCM கருவிகளை மிஞ்சும் வகையிலான மின்னல்வேக செயல்திறனுடன் செயல்படுகின்ற இதனை கற்றுக்கொள்வது எளிதானது , இதுசிறிய காலடி தடம்போன்றுள்ளது.

பைதான்3 என்பது ஒரு உயர்-நிலை பொது-நோக்கு நிரலாக்க மொழியாகும், இது உருவாக்குவது மட்டுமல்லாமல், சிறியஅளவிலானதுமுதல் பெரிய அளவிலானது வரையிலான செயல்திட்டங்களுக்கான தெளிவான, தருக்கக் குறிமுறைவரிகளை அதன் பொருள் சார்ந்த அணுகுமுறையுடன் எழுதுவதற்கு நிலாளர்ர்களுக்கு உதவுவதையும் நோக்கமாகக் கொண்டுள்ளது. Pip3 என்பது Pythonஇற்கான தொகுப்பு நிறுவுகைசெயலியாகும், இது Python தொகுப்பு அட்டவணையிலிருந்தும்  பிறவற்றிலிருந்தும் தொகுப்புகளை நிறுவுகைசெய்திட பயன்படுகிறது. இது பைத்தானின் சமீபத்திய பதிப்போடு வருகிறது. ‘setuptools’ , ‘git install malboxes’ போன்ற தேவையான சார்புகளை நிறுவுகைசெய்திடுவதற்காக Pip3  பயன் படுத்திடுக Pip3 ஆனது ‘apt-get’ உடன் அதை விட புதிய பதிப்பைப் பெறுகிறது. மேலும், ‘virtualenv’ உடன் இணைந்து, சார்புகளை ஒரே கோப்பகத்தில் நிறுவுகை செய்திட அனுமதிக்கிறது.

நாடோடியை(Vagrant) நிறுவுகைசெய்தல்:நாடோடி(Vagrant) என்பது ஒரு மெய்நிகர் இயந்திரம் சார்ந்த சூழல் மேலாண்மை கருவியாகும். நாடோடி பெட்டிகள்(agrant Boxes)  ஆனவை ஆரம்பப் புள்ளியாகப் பயன்படுத்தக்கூடிய முன்கூட்டியே கட்டமைக்கப்பட்ட அடிப்படைப் படிமங்கள்(images) ஆகும் தீம்பொருளைச் சோதிக்க, தீம்பொருள்பெட்டிகளின் படிமத்தினை(image) உருவாக்க இதைப் பயன்படுத்தி கொள்ளலாம். இந்த நாடோடியானது(Vagrant) Mac, Linux, Windows போன்ற பல்வேறு இயக்கமுறைகளில்  செயல்படுகின்றதிறன்மிக்கது. தொலைதூர மேம்படுத்திடும் சூழல்கள் பயனாளர்கள் தங்களுக்குப் பிடித்தமான பதிப்பாளர்கள் , நிரலாக்கங்களை கைவிடும்படி கட்டாயப்படுத்துகிறது. ஏற்கனவே நன்கு அறிந்த கருவிகளைக் கொண்டு நம்முடைய வளாக அமைப்பில் நாடோடியானது(Vagrant)செயலபடுகிறது.

Packer 1.2.3 ஐ நிறுவுகைசெய்து சூழல் மாறிகளில் சேர்த்தல்:Packer என்பது எந்த வடிவத்திலும் இயந்திரப் படிமங்களைத் தானாகத் தயாரிக்கும் ஒரு நிரலாகும். நவீன உள்ளமைவு நிர்வாகத்தைத் தழுவி, இது(Packer) உருவாக்கிய படிமங் களுக்குள் மென்பொருளை நிறுவுகைசெய்திடவும் கட்டமைத்திடவும், Chef  அல்லது Puppet  போன்ற கட்டமைப்பைப் பயன்படுத்திகொள்ள பயனாளர்களை ஊக்குவிக்கிறது. இதனுடைய(Packer) படிமங்கள் முழுமையாக நினைவகத்தில் ஏற்றப்பட்ட  உள்ளமைக்கப்பட்ட இயந்திரங்களை சிலநொடிகளில் தொடங்க அனுமதிக்கின்றன. அவைகளைகொண்டு AWS இல் பயன்பாட்டின் செயல்பாட்டினை இயக்கலாம், OpenStack போன்ற ஒரு தனியார் மேககணினியில் staging/QA , மேசைக்கணினி மெய்நிகராக்க தீர்வுகளை VMware அல்லது VirtualBox இல் உருவாக்கலாம், ஏனெனில் அவை பல தளங்களுக்கு ஒரே மாதிரியான படிமங்களை உருவாக்குகின்றன. Packer 1.2.3 ஐ நிறுவுகைசெய்திடும் போது, பதிவிறக்கம் செய்யப்பட்ட exe கோப்பை மேம்பட்ட கணினி அமைப்புகளில் சூழல் மாறிகளில் சேர்த்திடுக.

CLI மூலம் தீம்பொருள்பெட்டிகளையும்நிறுவுகைகருவிகளையும்(setuptools) நிறுவுகைசெய்தல்:Setuptools என்பது Python distutils இன் மேம்பாடுகளின் தொகுப்பாகும். இது மேம்படுத்துநர்களுக்கு, குறிப்பாக பிற தொகுப்புகளை நம்பியிருக்கும் பைத்தானை உருவாக்குவதையும்  எளிதாக்குகிறது. தீம்பொருள் பெட்டிகள் சார்புகளைக் கொண்டிருப்பதால், அவற்றைச் சரியாக நிறுவுகை செய்வதற்காக நிறுவுகை செய்வதற்கான கருவிகளைப் பயன்படுத்திகொள்ளலாம். தீம்பொருள் பெட்டிகள் விண்டோவினுடைய  மெய்நிகர் கணினிகளில் தீம்பொருள் பகுப்பாய்வை உருவாக்குகிறது, தீம்பொருளைச் சோதிக்கும் சூழலை வழங்குகிறது. கட்டளை வரியில் உள்ளிட வேண்டிய கட்டளைகளை படம்1 காட்டுகிறது.

படம்1

அடுத்து, Malboxes நிறுவுகையைச் சரிபார்த்து ஒரு பெட்டியை. படம் 2 இல் காட்டப்பட்டுள்ளபடி,  உருவாக்கிடுக

படம் 2

இது Windows 10, 64-bit VM ஐ உருவாக்குகின்றது. தேவையெனில்CLI இல் ‘malboxes list’ ஐ உள்ளிட்டு மற்ற VMகளை  சரிபார்க்கலாம்.

இப்போது ‘vagrant up’ என தட்டச்சு செய்வதன் மூலம் தீம்பொருள் பகுப்பாய் விற்காக ஒரு நாடோடி(Vagrant) கோப்பை உருவாக்கிடுக.

இந்த கட்டளைவரியானது நம்முடைய நாடோடி(Vagrant) கோப்பின் படி விருந்தினர் இயந்திரங்களை உருவாக்கி கட்டமைக்கிறது. இதிலுள்ள(Vagrant)மிக முக்கியமான கட்டளை இதுவேயாகும் (படம் 3), ஏனெனில் எந்த நாடோடி(Vagrant) இயந்திரமும் இப்படித்தான் உருவாக்கப்படுகிறது.

படம் 3

அடுத்த கட்டநடவடிக்கையாக, மேலே உள்ள தொடரியலை பயன்படுத்தி புதிய VM ஐ சுழற்றி்யமைத்திடுக;

உதாரணமாக: ‘malboxes spin win7_32_analyst newWin32VM’.

புதிய ISO  கோப்பில் இடம்சுட்டியை வைத்து சுட்டியின் பொத்தானை இருமுறை சொடுக்குதல் செய்வதன் மூலம் ISO கோப்பை மெய்நிகர் பெட்டியில் காணலாம் அல்லது run என்பதை தெரிவுசெய்து சொடுக்குதல் செய்வதன் மூலம் அதை இயக்கலாம். VM இப்போது துவக்கப்பட வேண்டியுள்ளது அதனால் போதுமான தற்காலிக நினைவகமும் RAM அமைவு ஆதாரங்களும் VMக்கு வழங்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்திகொள்க.

மாதிரி தீம்பொருள் பகுப்பாய்வு

விண்டோமெய்நிகர் கணினியில் உள்ளமைக்கப்பட்ட WinDBG இல் உள்ள தீம்பொருள் இயங்கக்கூடிய கோப்பை இப்போது பகுப்பாய்வு செய்வோம். பகுப்பாய்வை மேற்கொள்வதற்கான படிமுறைகள் பின்வருமாறு

மாதிரி தீம்பொருள் கோப்பைப் பதிவிறக்கம் செய்திடுதல்: பல ஆதாரங்களில் இருந்து பகுப்பாய்விற்குத் தகுந்த தீம்பொருள் செயல்படுத்துதல்களைப் பதிவிறக்கம் செய்யலாம், அவற்றில் ஒன்று ‘Malware-Samples by fabricagic72’ எனப்படும் GitHub களஞ்சியமாகும். இந்த மாதிரிகள் பல்வேறு honeypots களைப் பயன்படுத்தி களஞ்சியத்தின் உரிமையாளரால் தொகுக்கப்பட்டன. TekDefense ஆனது, படம் 4 இல் காணப்படுவது போல், இயங்கக்கூடிய தீம்பொருள் மாதிரிகளின் தொகுப்பையும் கொண்டுள்ளது.

படம் 4

Defenderஐ முடக்கி, பகுப்பாய்விற்குத் தயாராகுதல்: கருவிகளின் கீழ் ‘disable_defender’ என்பதைக் கண்டறிந்து அதைச் செயல்படுத்திடுக. இது மெய்நிகர் கணினியில் defendeஐ முடக்குகின்றது.

மெய்நிகர் இயந்திரத்துடன் வரும் WinDBG போன்ற பிழைத்திருத்தியைத் திறந்திடுக. இதற்கு ‘x64dbg’ என்று பெயரிடுக.

பிழைத்திருத்தத்தில் இயங்கக்கூடிய கோப்பை இழுத்துகொண்டுவருதல்: தீம்பொருளைப் பகுப்பாய்வு செய்ய, இப்போது ‘show code’ என்பதைக் தெரிவு செய்து சொடுக்குதல் செய்து குறிமுறைவரிகளைப் படித்திடுக. ஒரு சிவப்புக் கொடியானது குறியீடு தெளிவில்லாமல் இருப்பதையும் தீங்கிழைக்கும் நிரலையும் குறிக்கிறது. தீங்கிழைக்கும் நிரல் அதன் வரம்பில் உள்ளது மேலும்இது சாண்ட்பாக்ஸிலிருந்து வெளியேறாது என்பதை இது உறுதிப்படுத்துகிறது, இது பாதுகாப்பான தீம்பொருள் பகுப்பாய்வுக்கிற்கான வசதியை வழங்குகிறது.

படம் 5 இல் காட்டப்பட்டுள்ள துணுக்கு குறிமுறைவரிகள்  தீம்பொருள் payloadஇன் ஒரு பகுதியாகும், அங்கு செயலிகளும் பொருட்களும் இடையூறாகவும் முட்டாள்தனமானவையாகவும், குறியீடு தெளிவின்மையையும், தீங்கிழைக்கும் நிரலையும் குறிக்கிறது.

படம் 5

இணையஇணைப்பில்லாத தீம்பொருள் பகுப்பாய்விற்காக தீம்பொருள் பெட்டிகளின் ஆய்வக சூழலை எவ்வாறு உருவாக்குவது என்பதை நாம் இப்போது கற்றுக்கொண்டோம், மேலும் அதை பரிசோதித்தும் பார்த்துவிட்டோம். தீம்பொருள் இன்று ஒரு VM ஐக் கண்டறியும் வகையில் கட்டமைக்கப்பட்டுள்ளது, மேலும் சுற்றுச்சூழலில் இருந்து புரவலர் கணினியில் செயல்படுமாறு முயற்சி செய்யலாம். எனவே, கட்டுப்படுத்தப்பட்ட சூழலில் தீம்பொருள் பகுப்பாய்வு செய்வது நல்லதுஎன பரிந்துரைக்கப்படுகிறது.

%d bloggers like this: