Malware Analysis - ניתוח תוכנות זדוניות - Cybersecurity

ביוני 2017, NotPetya התפשט ברחבי אוקראינה ואז עף לעולם כולו. חברות אוקראיניות שילמו את הכופר. כלום לא קרה. כי זה לא היה ransomware. זה היה wiper - תוכנת השמדה - שהתחפשה לransomware. מפתח ההצפנה נזרק בכוונה תחילה. לא הייתה שום כוונה לשחרר את הקבצים. הנזק הכולל: 10 מיליארד דולר. Maersk, Merck, FedEx - חברות ענק שנפלו לא כי לא היה להן security, אלא כי אנשים טעו בסיווג של מה שהם מתמודדים איתו. שילמו כופר לcriminals שמעולם לא תכננו לתת את המפתח.

Malware analysis הוא הכלי שמספר לך מה הדבר הזה באמת עושה. לא מה שה-extension שלו אומר. לא מה שה-threat actor טוען. מה הוא עושה בפועל על מכונה.

NotPetya total damage (2017) - most expensive cyber attack in history

Static vs Dynamic Analysis

Static Analysis

Look without running

בטוח לחלוטין - לא מריצים malware

חושף imports, strings, entropy, packing

Packing / obfuscation מסתירים הרבה

קשה להבין behavior דינמי

Dynamic Analysis

Detonate in sandbox

חושף network IOCs, persistence, payload אמיתי

עוקף packing - הקוד מפענח את עצמו

דורש isolated VM ו-INetSim

Anti-VM techniques יכולות להסתיר behavior