Untersuchen: Hochladen von Dateien für Malware Analysis-Scans

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Es gibt zwei Methoden, mit denen Analysten Dateien für Malware Analysis-Scans hochladen können.

Ein Schadsoftwareanalyst mit der Berechtigung Malware Analysis-Scan initiieren kann zu scannende Dateien mithilfe der Option „Dateien scannen“ des Dialogfelds „Malware Analysis Service auswählen“ hochladen.

Es ist außerdem möglich, eine Datei zum Scannen mithilfe einer beobachteten Dateifreigabe hochzuladen.

Manuelles Hochladen von Dateien

Dieses Thema beinhaltet Anweisungen zum Einleiten eines Scans von einer hochgeladenen Datei nach Bedarf. Wenn Sie eine Datei zum Scannen hochladen, startet NetWitness Suite den Uploadjob und fügt diesen der Jobwarteschlange hinzu. Wenn der Job beendet wurde, können Sie den Scan in Malware Analysis aufrufen.

So laden Sie eine Datei zum Scannen hoch:

  1. Navigieren Sie zu Ermittlung > Malware Analysis.
    Das Dialogfeld „Malware Analysis Service auswählen“ wird zusammen mit den verfügbaren Malware Analysis-Hosts und -Services für den aktuellen Benutzer im linken Bereich angezeigt.
    Select a Malware Analysis Service dialog
  2. Klicken Sie auf Scan anzeigen.
    Das Dialogfeld „Auf Schadsoftware scannen“ wird angezeigt.
    Scan for Malware dialog
  3. Klicken Sie auf the add icon.
    Eine Ansicht des Dateisystems wird angezeigt, sodass Sie die Dateien zum Hochladen auswählen können.
  4. Wählen Sie eine oder mehrere Dateien in der Liste aus und klicken Sie auf Öffnen.
    Die Dateinamen werden hinzugefügt. Malware Analysis versieht die Zeichen des Dateinamens vor der Verarbeitung einer Datei mit Escape-Zeichen. Die maximale Anzahl der Zeichen im Dateinamen nach dem Einfügen von Escape-Zeichen ist 200. Wenn der Dateiname mehr als 200 Zeichen hat, kürzt Malware Analysis den Dateinamen ab und zeigt den verkürzten Dateinamen auf der NetWitness Suite-Benutzeroberfläche an.
  5. Fahren Sie mit dem Hinzufügen und Löschen von Dateien solange fort, bis Sie eine Liste der Dateien haben, die Sie hochladen möchten.
  6. Benennen Sie den Scan und wählen Sie die zu überbrückenden Dateitypen aus. Dies ist für ein Zip-Archiv nützlich, welches verschiedene Dateitypen enthält, und überschreibt die standardmäßigen Umgehungseinstellungen.
  7. Klicken Sie auf Scannen.
    Der Scanjob wird übermittelt und NetWitness Suite zeigt eine Bestätigungsmeldung über die erfolgreiche Übermittlung an. Die Scananforderung wird zum Dashlet mit der Liste der Scanjobs hinzugefügt. Die Überbrückungseinstellungen in diesem Dialogfeld überschreiben die Standardeinstellungen in den Malware Analysis-Basiskonfigurationseinstellungen.
  8. Der Job wird der Liste „Scanjobs“ im Dialogfeld „Malware Analysis Service auswählen“ und im Dashlet „Liste der Scanjobs“ des „Unified“-Dashboards hinzugefügt.
  9. Zeigen Sie den Scan nach Abschluss an, indem Sie darauf doppelklicken.
    Die Schadsoftware-Ereigniszusammenfassung wird für den ausgewählten Scan angezeigt.

Hochladen von Dateien aus einem beobachteten Ordner

Um Dateien aus einem beobachteten Ordner hochzuladen, können Sie Dateien in einer beobachteten Dateifreigabe für Malware Analysis ablegen. Mit Malware Analysis können Analysten YARA-Regeln, Hash-Dateien und infizierte ZIP-Archive freigeben.

Malware Analysis überwacht eine Dateifreigabe und verarbeitet automatisch Dateien, die in bestimmten Ordnern in der Dateifreigabe gespeichert sind. Diese Funktion ist für folgende Aktionen hilfreich:

  • Massenimport von Hash-Dateien aus /var/lib/rsamalware/spectrum/hashWatch
  • Hinzufügen von benutzerdefinierten YARA-Regeln zur Liste mit den Indikatoren für eine Infizierung auf dem Host aus /var/lib/rsamalware/spectrum/yara/watch
  • Erstellen von bedarfsorientierten Scanjobs von einem Zip-Archiv infizierter Zip-Dateien aus /var/lib/rsamalware/spectrum/infectedZipWatch/watch

Analysten müssen die Dateien gemäß den Anforderungen für die Nutzung vorbereiten. Die Dateierweiterung muss richtig sein und die Datei muss in den richtigen beobachteten Ordner in der Dateifreigabe kopiert werden.

Importieren von Hash-Listen

Um eine Hash-Liste aus dem beobachteten Verzeichnis zu importieren, muss die Hash-Liste in dem angegebenen Format sein und auf md5 sortiert werden. Sie können eine formatierte Datei in einen Ordner (/var/lib/rsamalware/spectrum/hashWatch) auf dem Malware Analysis-Host einfügen. Sie wird dann automatisch in die lokale Hash-Datenbank importiert. Dies wird in „Konfigurieren eines Hash-Filters“ im Malware Analysis-Konfigurationsleitfaden genauer beschrieben.

So importieren Sie mithilfe der Methode des beobachteten Ordners eine Hash-Liste:

  1. Kopieren Sie die Hash-Listen, die Sie importieren möchten, in das /var/lib/rsamalware/spectrum/hashWatch-Verzeichnis.
    NetWitness Suite Malware Analysis beobachtet diesen Ordner automatisch und verarbeitet die hier gespeicherten Dateien.
    1. Malware Analysis fügt diesem Hash-Filter jeden in der Hash-Liste gefundenen Hash hinzu.
    2. Falls Verarbeitungsfehler auftreten, werden die Hashes im folgenden Ordner protokolliert: /var/lib/rsamalware/spectrum/hashWatch/error.
    3. Verarbeitete Dateien werden in diesem Ordner katalogisiert: /var/lib/rsamalware/spectrum/hashWatch/processed.
    4. Verarbeitete Dateien werden aus dem Verzeichnis hashWatch nicht entfernt.
  2. Nachdem die Masse der Hashes importiert wurde, kann der Systemadministrator mithilfe eines Cron-Jobs alte verarbeitete Dateien bereinigen.

Importieren von YARA-Regeln in die Liste mit den Indikatoren für eine Infizierung

Kunden mit fortgeschrittenen Fähigkeiten und Kenntnissen können die Erkennungsfunktionen von RSA Malware Analysis erweitern, indem sie YARA-Regeln erstellen und in RSA Live veröffentlichen oder diese zur Verarbeitung durch den Host in einen beobachteten Ordner platzieren. Unter Implementieren von angepassten YARA-Inhalten finden Sie umfassende Informationen zu den Voraussetzungen für die Verwendung von benutzerdefiniertem YARA-Inhalt und den Erstellungsregeln.

Wenn die Regeln fertiggestellt sind, platzieren Sie die benutzerdefinierten YARA-Dateien in den Ordner, der vom Malware Analysis-Service beobachtet wird:
./var/lib/rsamalware/spectrum/yara/watch
Die Datei wird innerhalb einer Minute verarbeitet.
Sobald die Datei verarbeitet wurde, wird sie von NetWitness Suite in den Ordner processed verschoben und die neue Regel wird in der Malware Analysis-Ansicht „Service-Konfiguration“ > auf der Registerkarte „Indikatoren für eine Infizierung“ hinzugefügt.

YARA-IOC.png

Importieren von Dateien in die Liste der Scanjobs

Wenn Sie Beispiele aus anderen Sicherheitslösungen erhalten und die Dateien weiter analysieren möchten, können Sie die Dateien komprimieren, das Archiv mit dem Passwort infected schützen und das Archiv dann zur Verarbeitung durch Malware Analysis zum beobachteten Ordner hinzufügen. Das komprimierte Archiv kann dann in den beobachteten Ordner verschoben werden: /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Hinweis: Die maximale Größe des Archivs beträgt 100 MB.

Für die Analyse infizierter, passwortgeschützter ZIP-Dateien verarbeitet Malware Analysis die Archive im beobachteten Ordner und erstellt einen Job nach Bedarf, der der Liste der Scanjobs hinzugefügt wird.

  1. Komprimieren Sie, wenn Sie als Administrator angemeldet sind, die zu verarbeitenden Dateien in einer ZIP-Datei mit dem Passwort infected und speichern Sie sie unter /var/lib/rsamalware/spectrum/infectedZipWatch/watch
    . Innerhalb von ein oder zwei Minuten verarbeitet Malware Analysis das Archiv und erstellt bedarfsgesteuert einen Job in der Liste der Scanjobs. Der Name des Scanjobs entspricht dem Namen der Datei, der Benutzer ist Dateifreigabe und der Ereignistyp lautet 1. Das Archiv wird in /var/lib/rsamalware/spectrum/infectedZipWatch/processed verschoben.
  2. Sobald der Job der Scanjobliste hinzugefügt wurde, führen Sie ein Skript oder einen Cron-Job aus, um die ZIP-Datei im Verzeichnis /var/lib/rsamalware/spectrum/infectedZipWatch/processed zu bereinigen.
You are here
Table of Contents > Durchführen von Schadsoftwareanalysen > Hochladen von Dateien für Malware Analysis-Scans

Attachments

    Outcomes