MA: (Optional) Konfigurieren eines Hash-Filters

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

In diesem Thema wird erklärt, wie Hash-Filter zum Markieren von sauberen oder fehlerhaften Dateien in Malware Analysis verwendet werden können. Das Verfahren des Hash-Filterns ermöglicht es Ihnen, ein Verzeichnis mit sauberen und fehlerhaften Datei-Hashes zu führen. Auf der Registerkarte „Hash“ können Sie die Malware Analysis-Ereignisanalyse basierend auf Datei-Hashes anpassen. Wird ein Datei-Hash als sauber markiert, analysiert Malware Analysis diesen beim nächsten Mal nicht mehr. Wird ein Datei-Hash als fehlerhaft markiert, erhöht Malware Analysis den Communitywert der Datei automatisch um eine hohe Anzahl von Punkten. Malware Analysis analysiert diese Datei weiterhin, um zu überprüfen, ob neue Informationen zur Verfügung gestellt werden.

Hinweis: Enthält ein Ereignis eine einzelne Datei und wird der Hash dieser Datei als sauber markiert, filtert Malware Analysis das gesamte Ereignis und Sie können es nicht in den Malware Analysis-Ergebnissen sehen.

Um Hash-Filter der Hash-Liste hinzuzufügen, können Sie eine der folgenden manuellen Methoden anwenden:

  1. Hinzufügen mithilfe des Kontextmenüs in der Ereignisdetailansicht: Wenn Sie mit der rechten Maustaste auf eine Datei klicken, wird ein Kontextmenü geöffnet und Sie können den Hash der ausgewählten Datei als sauber (Normal) oder als fehlerhaft (Schädlich) markieren.
  2. Symbolleiste der Registerkarte „Hash“: Klicken Sie in der Registerkarte „Hash“ auf „Hinzufügen“, um einen Datei-Hash und die Dateigröße hinzuzufügen und optional den Hash als vertrauenswürdig zu markieren.

Es gibt zudem eine automatisierte Methode, um Malware Analysis Hash-Filter hinzuzufügen. Sie können eine Hash-Liste als Ganzes aus dem überwachten Ordner importieren. Hashes, die durch den überwachten Ordner importiert wurden, erscheinen nicht in der Hash-Liste. Kopieren Sie mit diesem Massenimport und dem überwachten Verzeichnis (/var/netwitness/malware-analytics-server/spectrum/hashWatch), das auf dem Malware Analysis-Server eingerichtet wurde, eine Hash-Liste in den überwachten Ordner, sodass diese Liste automatisch in das System importiert wird. Hashes, die mithilfe des Massenimports importiert wurden, überschreiben Hashes, die zuvor durch den überwachten Ordner importiert wurden.

Anzeigen der Hash-Liste

So zeigen Sie die Hash-Liste an:

  1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
  2. Wählen Sie in der Ansicht „Services“ einen Malware Analysis-Service und dann die Optionen  >Ansicht > Konfiguration aus.
  3. Wählen Sie die Registerkarte Hash aus.

    Die Hash-Liste wird in der Registerkarte „Hash“ angezeigt. Es werden nur Datei-Hashes angezeigt, die durch eine der gezeigten Methoden hinzugefügt wurden.

Hinzufügen eines Datei-Hashs zum Hash-Filter

So fügen Sie dem Hash-Filter einen Datei-Hash hinzu:

  1. Klicken Sie in der Registerkarte Hash auf Hinzufügen.

    Das Dialogfeld Hash hinzufügen wird angezeigt.

  2. Ist der Hash vertrauenswürdig, wählen Sie Vertrauenswürdig.
  3. Geben Sie den MD5-Hash und die Dateigröße in Bytes an.
  4. Klicken Sie auf Speichern.

    Der Datei-Hash wird den Hashes hinzugefügt und für das Hash-Filtern in Malware Analysis verwendet.

Markieren eines Hashs als vertrauenswürdig oder nicht vertrauenswürdig

So markieren Sie einen Hash als vertrauenswürdig oder nicht vertrauenswürdig:

  1. Klicken Sie in der Registerkarte Hash auf die Reihe Vertrauenswürdig für diesen Hash, um zwischen dem Status Vertrauenswürdig und Nicht Vertrauenswürdig umzuschalten.
  2. Klicken Sie in der Symbolleiste auf Bearbeitung speichern.

Löschen eines Hashs aus dem Hash-Filter

So löschen Sie einen Hash aus dem Hash-Filter:

  1. Wählen Sie in der Registerkarte Hash einen oder mehrere Hashs aus, die Sie von dem Hash-Filter entfernen möchten.
  2. Klicken Sie in der Symbolleiste auf Löschen.

    Ein Bestätigungsdialogfeld wird angezeigt und bietet die Möglichkeit zum Abbruch des Vorgangs.

  3. Klicken Sie zum Bestätigen des Löschvorgangs auf Ja.

    Der Datei-Hash wird aus dem Raster gelöscht und nicht mehr für das Hash-Filtern in Malware Analysis verwendet.

Nach einem Datei-Hash suchen

Auf der Registerkarte „Hash“ können Sie nach einem Datei-Hash suchen, der im Raster angezeigt wird. Geben Sie im MD5-Feld den Datei-Hash ein, den Sie suchen, und klicken Sie auf Suchen. Eine Liste mit Dateien, die diesen Hash enthalten, wird im Raster angezeigt.

Importieren einer Hash-Liste mithilfe des überwachten Ordners

Um eine Hash-Liste aus dem beobachteten Verzeichnis zu importieren, muss die Hash-Liste in dem angegebenen Format sein und auf md5 sortiert werden. Sie können eine Datei mit dem unten beschriebenen Format in einen Ordner (/var/netwitness/malware-analytics-server/spectrum/hashWatch) der Malware Analysis-Appliance einfügen. Diese wird dann automatisch in die lokale Hash-Datenbank importiert. Dies ist die einzige Möglichkeit, Datei-Hashes in zu importieren. Ein weiteres Anwendungsbeispiel sieht vor, dass ein Systemadministrator das überwachte Verzeichnis einem Prozess aussetzt, der eine Datei in dieses Verzeichnis schiebt. Dieses Verfahren ist eine Art Massenimport für die Verwaltung einer großen Menge an Hash-Importen.

Dies ist eine Datei im CSV-Format ohne Leerzeichen zwischen den Daten in jeder Zeile. Es wird angenommen, dass es von den Daten in der Hash-Liste keine Duplikate gibt. Duplikate werden während der Verarbeitung ignoriert. Tauchen Duplikat-Hashes auf, zeigt die Protokolldatei folgende Meldung mit der Anzahl an Duplikat-Hashes in der Datei an:

2013-08-09 09:46:00,674 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing - /var/lib/rsa>malware/hashWatch/test.csv
2013-08-09 09:47:56,619 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.services.file.hash.HashServiceImpl - Skipped 21 Duplicate Hashes Already on File
2013-08-09 09:48:06,638 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed - / var/lib/rsa>malware/hashWatch/test.csv

Unten stehend finden Sie ein Beispiel einer Hash-Liste im Standard-Dateiformat.


[BeginFileExample]
392126E756571EBF112CB1C1cdEDF926,98865,True
0E53C14A3E48D94FF596A2824307B492,2226,True
176308F27DD52890F013A3FD80F92E51,42748,False
9B3702B0E788C6D62996392FE3C9786A,32768,False
937ADE76A75712B7FF339403B4FCB5A6,4821,False
B47139415F735A98069ACE824A114399,1723,False
E6CAF205E602CFA9A65663DB1A087874,704,False
680CA0BCE1FC7BC4136ADF4E210869C5,2075,False
[EndFileExample]


Eine NetWitness Suite-Konfigurationsdatei (/var/netwitness/malware-analytics-server/spectrum/conf/hashFileWatchConfig.xml) bestimmt das Format und die Optionen des Importprozesses der Hash-Liste. Unten stehend finden Sie eine Liste der Konfigurationsdatei.

<config>
<enabled>true</enabled>
<distributedCacheEnabled>true</distributedCacheEnabled>
<watchDirectory>/
/var/lib/rsamalware/hashWatch</watchDirectory>
<processedDirectory>/
var/lib/rsamalware/hashWatch/processed</processedDirectory>
<erroredDirectory>/
var/lib/rsamalware/hashWatch/error</erroredDirectory>
<md5Col>0</md5Col>
<fileSizeCol>-1</fileSizeCol>
<isTrustedCol>1</isTrustedCol>
<isTrust>false</isTrust>
<ignoreFirstLine>false</ignoreFirstLine>
<frequencyInMinutes>1</frequencyInMinutes>
<isGzipCompressed>false</isGzipCompressed>
</config>
LiniendiagrammBeschreibung

<md5Col>0</md5Col>

Die Position des MD5-Hashes in jedem Eintrag. Die Standardposition ist 0 oder die erste Position.

<fileSizeCol>1</fileSizeCol>

Die Position der Hash-Größe in jedem Eintrag. Die Standardposition ist 1 oder die zweite Position. Ist die Hash-Größe nicht in der CSV-Datei enthalten, muss der Wert -1 betragen.

<isTrustedCol>2</isTrustedCol>

Die Position der Reihe Vertrauenswürdig in jedem Eintrag. Die Standardposition ist 2. Ist der Parameter Vertrauenswürdig nicht in der CSV-Datei enthalten, muss der Wert -1 betragen.

<isTrust>false</isTrust>

Die Standard-Annahme für den Parameter Vertrauenswürdig in jedem Eintrag ist false.

<ignoreFirstLine>false</ignoreFirstLine>

Vorhandensein eines Headers im Hash Der Standardwert ist false. Besitzt der Hash einen Header, muss der Wert auf true gesetzt werden.

<frequencyInMinutes>1</frequencyInMinutes>

Intervall zwischen den Überprüfungen durch NetWitness Suite im überwachten Verzeichnis Der Standardwert beträgt 1 Minute.

<isGzipCompressed>false</isGzipCompressed>

Der Hash wird mit Gzip komprimiert. Der Standardwert ist false. Wenn der Hash mit Gzip komprimiert wird, muss der Wert auf true gesetzt werden.

Wurde die Hash-Liste importiert, enthält das Systemprotokoll Einträge wie diesen:

2013-04-11 03:22:00,597 [jobExecutor-9(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing - /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
2013-04-11 03:22:00,600 [jobExecutor-9(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed - /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv

Taucht beim Laden der Datei ein Problem auf, enthält das Systemprotokoll Einträge wie diesen:

2013-04-11 03:17:00,597 [jobExecutor-4(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing - /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
... Verbose log
2013-04-11 03:17:00,632 [jobExecutor-4(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Error Processing - /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv


So importieren Sie mithilfe der Methode des beobachteten Ordners eine Hash-Liste:

  1. Kopieren Sie die Hash-Listen, die Sie importieren möchten, in das Verzeichnis /var/netwitness/malware-analytics-sever/spectrum/hashWatch.
    Malware Analysis beobachtet diesen Ordner automatisch und verarbeitet die hier gespeicherten Dateien.
    Malware Analysis fügt diesem Hash-Filter jeden in der Hash-Liste gefundenen Hash hinzu.
    Wenn Verarbeitungsfehler auftreten, werden diese im Verzeichnis /var/netwitness/malware-analytics-sever/spectrum/hashWatch/error
    protokolliert. Die verarbeiteten Dateien werden im Verzeichnis /var/netwitness/malware-analytics-sever/spectrum/hashWatch/processed
    katalogisiert. Die verarbeiteten Dateien werden nicht aus dem Verzeichnis „hashWatch“ entfernt.
  2. Nachdem die Masse der Hashes importiert wurde, kann der Systemadministrator mithilfe eines Cron-Jobs alte verarbeitete Dateien bereinigen.
You are here
Table of Contents > Konfiguration von Malware Analysis > Schritt 8. (Optional) Konfigurieren eines Hash-Filters

Attachments

    Outcomes