Я собираюсь начать, пожалуй, самую технически сложную серию обучающих материалов по реверс-инжинирингу вредоносных программ . Прежде чем начать, я решил уделить немного времени объяснению того, почему ВАМ стоит изучать реверс-инжиниринг и посвящать этому своё время. Пожалуйста, уделите немного времени прочтению нижеследующего материала, а затем, надеюсь, решите, стоит ли эта дисциплина вашего времени для развития вашей карьеры в сфере кибербезопасности.
Что такое обратная разработка вредоносного ПО?
В этой серии мы будем анализировать известные вредоносные программы , чтобы понять, как они работают, как действуют и каковы их «сигнатуры». Согласно словарю Merriam-Webster, обратная разработка определяется как «разборка или подробный анализ с целью выявления концепций, задействованных в производстве». Именно в этом и заключается цель этой серии — детально анализировать вредоносные программы с целью выявления концепций, задействованных в их производстве.
Кроме того, Википедия определяет обратную разработку как:
Процесс выявления технологических принципов работы какого-либо приложения посредством анализа его структуры, функций и функционирования. Иногда это включает в себя разборку устройства и детальный анализ его работы, обычно с целью создания нового устройства или программы, выполняющих те же функции, без фактического копирования оригинала. (выделено мной)
В этом анализе мы будем использовать ряд различных инструментов, включая виртуальные машины, песочницы, распаковщики, дизассемблеры и отладчики. По возможности я буду использовать бесплатные инструменты с открытым исходным кодом.
Зачем нужна обратная разработка вредоносного ПО?
#1 Для более глубокого и полного понимания приложений и операционных систем
В качестве альтернативы, обратная разработка вредоносного ПО позволит вам глубже и полнее понять операционные системы и приложения. Вредоносное ПО использует эти операционные системы и приложения для своих собственных вредоносных целей, и, анализируя вредоносное ПО и его работу, вы сможете лучше понять не только принцип его работы, но и функционирование ОС и приложений.
#2 Обучение работе в области криминалистического анализа вредоносных программ
В настоящее время самой высокооплачиваемой и востребованной областью цифровой криминалистики является специалист, способный анализировать вредоносное ПО и использовать эту информацию для атрибуции. При появлении нового вредоносного ПО именно тем, кто способен его деактивировать, чаще всего поручают установить его источник. Это становится всё более важным в сфере кибершпионажа и кибервойны между государствами.
Прочитав и изучив эту серию «Обратная разработка вредоносных программ», вы начнете подготовку к этой увлекательной карьере.
#3 Создание приложений безопасности
Прежде чем приступить к разработке приложений безопасности для защиты систем, необходимо понять, как работает вредоносное ПО. Работаете ли вы над разработкой систем обнаружения вторжений (IDS), антивирусного ПО, межсетевых экранов или современных систем безопасности на основе искусственного интеллекта (ИИ), необходимо понимать, как функционирует вредоносное ПО, а следовательно, как его можно обнаружить и нейтрализовать.
#4 Будьте лучше подготовлены в качестве судебного аналитика или специалиста по реагированию на инциденты
Обратная разработка вредоносного ПО поможет специалистам по реагированию на инциденты и криминалистам/следователям быстро оценить серьёзность нарушения и улучшить план восстановления. Изучая обратную разработку вредоносного ПО, криминалист может определить ключевые признаки взлома, а затем спланировать меры по локализации и восстановлению после инцидента.
# 5 Создавайте собственные эксплойты Zer0-Day
«Святой Грааль» любого исследователя безопасности, хакера или пентестера — это разработка эксплойта 00-day. Независимо от того, являетесь ли вы «белым хакером», пытающимся разработать эксплойт для проверки концепции (POC), охотником за ошибками (Bug Bounty Hunter) или «чёрным хакером», стремящимся эксплуатировать новейшее приложение, вы должны понимать внутреннюю работу операционной системы, самого приложения и, возможно, ранее созданного вредоносного ПО. В этой серии статей мы рассмотрим внутреннюю работу некоторых распространённых операционных систем и приложений, а также вредоносных программ, успешно эксплуатирующих эти системы. Узнав, как эти системы были скомпрометированы в прошлом, вы лучше поймете, как разработать свою собственную. Кроме того, как и в любой разработке программного обеспечения, нет смысла «изобретать велосипед». Все разработчики ПО повторно используют код, чтобы сэкономить время и деньги. Это в равной степени относится и к разработчикам вредоносных программ (повторное использование кода часто может служить доказательством для атрибуции). Здесь мы рассмотрим некоторые распространённые и успешные вредоносные программы, созданные за последние годы, многие из которых имеют модули, которые можно использовать повторно.
Без возможности создавать собственные эксплойты ваша карьера пентестера/хакера будет в значительной степени ограничена запуском чужого кода. Чтобы достичь высших эшелонов в индустрии безопасности/пентестинга, вам необходимо разбираться в ранее внедрённых вредоносных программах и разрабатывать собственные.
Некоторые из тем, которые мы рассмотрим в этой серии, включают:
Обзор языка ассемблера
Введение в анализ вредоносных программ
Реверс с помощью дизассемблерных машин
Реверс с помощью DeBugger
Отладчики пользовательского режима
Реверс Win32 с помощью IDA Pro
Реверсирование стеков и куч
Внутреннее устройство Windows
Внутреннее устройство Linux
Изменение структур данных
Структурированная обработка исключений
Реверсирование на системном уровне
Реверсирование ботов
Устранение векторов инфекции
Кодеры и компрессоры
Аудит двоичных файлов
Двоичное дифференцирование
Обратное шифрование
Обнаружение отладчиков и дизассемблеров
Что такое обратная разработка вредоносного ПО?
В этой серии мы будем анализировать известные вредоносные программы , чтобы понять, как они работают, как действуют и каковы их «сигнатуры». Согласно словарю Merriam-Webster, обратная разработка определяется как «разборка или подробный анализ с целью выявления концепций, задействованных в производстве». Именно в этом и заключается цель этой серии — детально анализировать вредоносные программы с целью выявления концепций, задействованных в их производстве.
Кроме того, Википедия определяет обратную разработку как:
Процесс выявления технологических принципов работы какого-либо приложения посредством анализа его структуры, функций и функционирования. Иногда это включает в себя разборку устройства и детальный анализ его работы, обычно с целью создания нового устройства или программы, выполняющих те же функции, без фактического копирования оригинала. (выделено мной)
В этом анализе мы будем использовать ряд различных инструментов, включая виртуальные машины, песочницы, распаковщики, дизассемблеры и отладчики. По возможности я буду использовать бесплатные инструменты с открытым исходным кодом.
Зачем нужна обратная разработка вредоносного ПО?
#1 Для более глубокого и полного понимания приложений и операционных систем
В качестве альтернативы, обратная разработка вредоносного ПО позволит вам глубже и полнее понять операционные системы и приложения. Вредоносное ПО использует эти операционные системы и приложения для своих собственных вредоносных целей, и, анализируя вредоносное ПО и его работу, вы сможете лучше понять не только принцип его работы, но и функционирование ОС и приложений.
#2 Обучение работе в области криминалистического анализа вредоносных программ
В настоящее время самой высокооплачиваемой и востребованной областью цифровой криминалистики является специалист, способный анализировать вредоносное ПО и использовать эту информацию для атрибуции. При появлении нового вредоносного ПО именно тем, кто способен его деактивировать, чаще всего поручают установить его источник. Это становится всё более важным в сфере кибершпионажа и кибервойны между государствами.
Прочитав и изучив эту серию «Обратная разработка вредоносных программ», вы начнете подготовку к этой увлекательной карьере.
#3 Создание приложений безопасности
Прежде чем приступить к разработке приложений безопасности для защиты систем, необходимо понять, как работает вредоносное ПО. Работаете ли вы над разработкой систем обнаружения вторжений (IDS), антивирусного ПО, межсетевых экранов или современных систем безопасности на основе искусственного интеллекта (ИИ), необходимо понимать, как функционирует вредоносное ПО, а следовательно, как его можно обнаружить и нейтрализовать.
#4 Будьте лучше подготовлены в качестве судебного аналитика или специалиста по реагированию на инциденты
Обратная разработка вредоносного ПО поможет специалистам по реагированию на инциденты и криминалистам/следователям быстро оценить серьёзность нарушения и улучшить план восстановления. Изучая обратную разработку вредоносного ПО, криминалист может определить ключевые признаки взлома, а затем спланировать меры по локализации и восстановлению после инцидента.
# 5 Создавайте собственные эксплойты Zer0-Day
«Святой Грааль» любого исследователя безопасности, хакера или пентестера — это разработка эксплойта 00-day. Независимо от того, являетесь ли вы «белым хакером», пытающимся разработать эксплойт для проверки концепции (POC), охотником за ошибками (Bug Bounty Hunter) или «чёрным хакером», стремящимся эксплуатировать новейшее приложение, вы должны понимать внутреннюю работу операционной системы, самого приложения и, возможно, ранее созданного вредоносного ПО. В этой серии статей мы рассмотрим внутреннюю работу некоторых распространённых операционных систем и приложений, а также вредоносных программ, успешно эксплуатирующих эти системы. Узнав, как эти системы были скомпрометированы в прошлом, вы лучше поймете, как разработать свою собственную. Кроме того, как и в любой разработке программного обеспечения, нет смысла «изобретать велосипед». Все разработчики ПО повторно используют код, чтобы сэкономить время и деньги. Это в равной степени относится и к разработчикам вредоносных программ (повторное использование кода часто может служить доказательством для атрибуции). Здесь мы рассмотрим некоторые распространённые и успешные вредоносные программы, созданные за последние годы, многие из которых имеют модули, которые можно использовать повторно.
Без возможности создавать собственные эксплойты ваша карьера пентестера/хакера будет в значительной степени ограничена запуском чужого кода. Чтобы достичь высших эшелонов в индустрии безопасности/пентестинга, вам необходимо разбираться в ранее внедрённых вредоносных программах и разрабатывать собственные.
Некоторые из тем, которые мы рассмотрим в этой серии, включают:
Обзор языка ассемблера
Введение в анализ вредоносных программ
Реверс с помощью дизассемблерных машин
Реверс с помощью DeBugger
Отладчики пользовательского режима
Реверс Win32 с помощью IDA Pro
Реверсирование стеков и куч
Внутреннее устройство Windows
Внутреннее устройство Linux
Изменение структур данных
Структурированная обработка исключений
Реверсирование на системном уровне
Реверсирование ботов
Устранение векторов инфекции
Кодеры и компрессоры
Аудит двоичных файлов
Двоичное дифференцирование
Обратное шифрование
Обнаружение отладчиков и дизассемблеров
