Basic Dynamic Analysis via Process Explorer og Process Monitor

Basic dynamisk analyse handler om lav praktiske tiltag. Det er vigtigt at kunne skaffe et hurtigt overblik over processer der køre på maskinen og kunne vurdere deres Parent PID, hvilke bruger processen høre til, hvilken type proces og andre elementer som enkelte events skabt af processen, moduler importeret og valide eller ikke valide signaturer.

ProcExp

Process Explorer (ProcExp) opstiller alle aktive processer for ens egen bruger på maskinen. Køre man ProcExp som administrator viser den alle processer for alle brugere.

De forskellige processer er vist som et træ. Hvor hver "child" proces er indenteret under dets "parent".

Læg også mærke til de forskellige farver:

Rød - Services (processer der hoster en eller flere Windows-tjenester)

Lilla - Packed images (komprimerede eksekverbare filer, kan indikere malware, men kan også være legitime)

Blå - Processer der kører under samme brugerkonto som Process Explorer

Lyseblå - Nye processer der lige er blevet oprettet (fremhævningen forsvinder efter nogle sekunder)

Rød (midlertidig) - Processer der lige er blevet afsluttet (fremhævningen forsvinder efter nogle sekunder)

Mørkegrå - Suspenderede processer

Grøn - Egne processer (samme som din nuværende bruger, lignende blå)

Hvid/Grå - Normale processer uden særlig status

proc_exp_1

vibranceGUI.exe

Her ses der en proces der hedder "vibranceGUI", som man kan se i yderste højre kolonne "VirusTotal" så bliver dens hashsignaturer sendt til VirusTotal API'en automatisk. Der er én ud af de 77 forskellige antivirus services som VirusTotal gør brug af- som har flagget denne proces. Dette kan typisk anses som at være et "false positive".

vibrance_gui

Højre klikker man på processen og går ind på "properties" får man dette vindue.

vibrance_properties

Man kan se og ændre på forskellige properties såsom sti, "command line" argumenter, "parent" proces, "user", hvornår den er startet, om filen er 32-bit eller 64-bit og VirusTotal resultatet.

På højre side kan man trykke på "verify" knappen, som tjekker den digitale signatur for en fil/proces. Windows verificerer om filen er signeret, identificerer hvem der har signeret filen (f.eks. Microsoft), og validerer at signaturen er autentisk ved at tjekke certifikatkæden op til en Certificate Authority (CA). Resultatet viser om signaturen er gyldig, ugyldig, eller om der slet ingen signatur er til stede. Malware vil typisk enten ikke være signeret eller have en ugyldig signering.

vibrance_verify

sv_host_verified

Man kan også kigge på "strings" i properties. Hvis et mistænkeligt link er tilstæde i strings kan man dykke dybere, det kan være en crypto-wallet, Command and Control (CnC/C2) eller andre forskellige resourcer som trusselsaktører tager brug af via internettet.

I billedet herunder ses der et link til paypal.

strings

ProcMon

Process Monitor gør det muligt at monitorere proces events og filtrere for eget behov.

procmon

Herunder ses der et filter hvor proces navnet er "Discord.exe" og operationen indeholder "TCP". Dette er brugbart da man kan filtrere for forskellige events f.eks. TCP protokollen.

procmon

Højre klikker man på et event kan man se yderlige informationer såsom path, command line argumenter, Process Identifier (PID), Parent PID, arkitektur såsom 32-bit og 64-bit, tidspunkt for proces opstart og "Modules" hvilket er en liste af Dynamic Link Libraries (DLL)'er som processen importerer.

procmon