Домашнее задание к занятию «Анализ вредоносного ПО», Нетология

1 Изучите функцию main в файле asm_1.txt, рассмотрите ее структуру и ответьте, какое число будет выведено на экран в результате работы программы? Для этого проанализируйте файл asm_1.txt Пояснения: функция содержит 3 блока - инициализация переменнных, выполнение основного кода, вывод результатов. Основной код содержит конструкцию цикла, для нее характерны команды сравнения (cmp) и перенаправления на заданную метку (jmp или jg). Для ответа вам необходимо понять, какое число подается на начало цикла, какое число является условием выхода и шаг цикла. Для вывода на экран используется функция printf.

2 Представьте, что в файле asm_1.txt заменили некоторые строки — они указаны на картинке по ссылке. Слева изначальные инструкции, справа — замена. Изучите код с учетом изменений и ответьте, каким будет вывод этой программы, при замене инструкций?

3 Какие четыре WinAPI функции вызываются в программе? Перечислите названия функций через пробел в порядке их вызова в программе. Проанализируйте файл asm_2.txt и ответьте на вопрос

4 Какое имя будет у текстового файла, создаваемого в программе? Проанализируйте файл asm_2.txt и ответьте на вопрос.

5 Что из списка не будет записано в создаваемый файл? Проанализируйте файл asm_2.txt и ответьте на вопрос. Имя компьютера. Случайное число. Имя пользователя. Идентификатор текущего времени. Имя ключа реестра.

6 Запишите полный путь исполняемого файла, который создается процессом WScript. Учитывайте, что файл будет исполняемым, его расширение будет не .exe.

Проанализируйте отчет песочницы AnyRun app.any.run...d20a7f7c4/. Данный отчет мы разбирали в рамках лекции, где выяснили, что это файл, который запускает полезную нагрузку с помощью WScript и regsvr32, а также внедряет код в контекст процесса iexplore.exe и может быть классифицирован как Ursnif.

7 Запишите размер этого файла в килобайтах. Проанализируйте отчет песочницы AnyRun app.any.run...d20a7f7c4/. Данный отчет мы разбирали в рамках лекции, где выяснили, что это файл, который запускает полезную нагрузку с помощью WScript и regsvr32, а также внедряет код в контекст процесса iexplore.exe и может быть классифицирован как Ursnif.

8 Запишите MD5-хеш этого файла. Проанализируйте отчет песочницы AnyRun app.any.run...d20a7f7c4/. Данный отчет мы разбирали в рамках лекции, где выяснили, что это файл, который запускает полезную нагрузку с помощью WScript и regsvr32, а также внедряет код в контекст процесса iexplore.exe и может быть классифицирован как Ursnif.

9 С каким доменом производились коммуникации у вредоносного кода, внедрённого в процесс iexplore.exe?

Проанализируйте отчет песочницы AnyRun app.any.run...d20a7f7c4/. Данный отчет мы разбирали в рамках лекции, где выяснили, что это файл, который запускает полезную нагрузку с помощью WScript и regsvr32, а также внедряет код в контекст процесса iexplore.exe и может быть классифицирован как Ursnif.

10 Укажите полный путь до исполняемого файла, закреплённого в ключе реестра «HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Test Update».

Проанализируйте файл autoruns_1.arn с помощью утилиты Autoruns (Autoruns\Autoruns.exe -> File -> Open).

11 Запишите имя службы, осуществляющей запуск файла «c:\users\Администратор\appdata\local\temp\for_sc.exe».

Проанализируйте файл autoruns_1.arn с помощью утилиты Autoruns (Autoruns\Autoruns.exe -> File -> Open).

12 Что из списка реализует этот Powershell скрипт?

Проанализируйте файл posh_1.txt, который содержит в себе командную строку для подозрительного процесса Powershell. Необходимо декодировать Base64-закодированную строку.

Скачивает файл с удалённого хоста

Запускает скачанный файл

Создаёт для скачанного файла службу

Обходит политику исполнения Powershell

Удаляет важные пользовательские файлы

13 С каким сетевым адресом происходит взаимодействие? Запишите URL-адрес.

Проанализируйте файл posh_1.txt, который содержит в себе командную строку для подозрительного процесса Powershell. Необходимо декодировать Base64-закодированную строку.

14 Какое имя будет у запускаемого файла?

Проанализируйте файл posh_1.txt, который содержит в себе командную строку для подозрительного процесса Powershell. Необходимо декодировать Base64-закодированную строку.