tech365
malware header

Zelf experimenteren met malware en netwerkanalyse

Heb je altijd al zelf netwerkverkeer willen analyseren? Uitdokteren welke malware er is binnengekomen en welke computer er besmet is? Inmiddels kan ik je vertellen dat het verslavend is. Wees niet bang, je hoeft hiervoor niet je eigen computert te besmetten of allerlei hardware te kopen. Het enige dat je nodig hebt is een stukje software en een website vol samples.

Als je kijkt naar het proces hoe malware binnenkomt op je computer is dit in de meeste gevallen door het downloaden ervan. Een malafide link in een e-mail die de malware download, een website die het je laat downloaden in de vorm van een stukje software, en ga zo maar door. Al deze acties vertalen zich in netwerkverkeer en met behulp van software kun je dit verkeer afvangen en analyseren. Wireshark is hiervan wellicht het meest bekende voorbeeld en is gratis te downloaden.

Goed, ik zei net dat het niet nodig was om je eigen computer gelijk vol te trekken met malware om te kunnen experimenteren met de netwerkanalyse. De website Malware-Traffic-Analysis maakt het je een stuk makkelijker door je te voorzien van oefeningen waarin de malware samples en stukken van het netwerkverkeer al klaar staan voor je. Je download het netwerkverkeer in een zogenaamd pcap-bestand, opent het in Wireshark (of een andere tool) en gaat opzoek naar de antwoorden op de oefenvragen. Hieronder zie je een voorbeeld van een stukje verkeer waarin malware wordt gedownload.

MalwareTrafficAnalysis

Je krijgt vragen als: “Wat is het mac-adres van de computer die besmet is”, “Wat is de hostnaam van de besmette computer”, “welke gebruiker was er aangemeld op die computer”, “Wat is de SHA256 hash van de malware en wat voor malware is het?”. De pcap-bestanden geven je grotendeels antwoord op de vragen, maar soms moet je zelf ook verder zoeken. Het is niet anders dan wanneer je dit in een bedrijfsnetwerk zou doen, of op de computer van iemand die slachtoffer is geworden van een malware besmetting. Maar pas op, de zoektocht kan verslavend zijn. Wat niet altijd heb je het antwoord zomaar te pakken.

MalwareTrafficAnalysis vragen

Het zoeken in netwerkverkeer is niet alleen leuk om te doen, maar ook erg leerzaam. Bij iedere oefening steek je weer iets nieuws op en soms is het zo frustrerend als je het antwoord niet kunt vinden dat nachtrust ineens een overbodige luxe is. Maar leerzaam is het zeker. Pas wel op met de malware samples die je kunt downloaden uit de pcap-bestanden want ze zijn echt! Gebruik bij voorkeur dus een goede virusscanner en het liefst een computer die niet verbonden is met je eigen netwerk. Virtuele machines zijn hier erg handig voor omdat je met een snapshot handig terug kan naar voor het moment van infectie.

Er zijn heel veel verschillende oefeningen die je kunt doen. Ze zijn allemaal te vinden als malware analyse oefeningen op de website en bestaan uit bekende malware, torrents en andere alledaagse dreigingen. Er is ook een flinke verzameling aan blogposts over malware en de analyse hiervan door de auteur van de website. Check ook zeker zijn Twitter account voor updates en nieuwe analyses. Heb je vragen, stel ze gerust onder de post!

Martijn

Martijn is naast eigenaar van tech365 ook werkzaam als IT Professional. Zijn passies zijn gadgets, fotografie en alles wat met automotive te maken heeft. Je kunt hem ook vinden als blogger op wielerblog www.lifebehindbars.nl

Reageren

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Privacy opties

Wijzig je voorkeur voor het bijhouden van gegevens op tech365.

Privacybeleid | Sluiten
Instellingen