भाग ५ (६ पैकी)

मालवेअर विश्लेषण (Malware Analysis)

🕑 ९०-१२० मिनिटे 💣 धोका विश्लेषण 📋 मॉड्यूल ४

प्रस्तावना

मालवेअर विश्लेषण हे सायबर गुन्हे तपासातील महत्त्वाचे कौशल्य आहे. मालवेअरचे विश्लेषण करून तपास अधिकारी हल्ल्याचे स्वरूप, गुन्हेगाराची पद्धत आणि पीडितांवर होणारा परिणाम समजून घेऊ शकतात.

📚 शिक्षण उद्दिष्टे

हा भाग पूर्ण केल्यावर, तुम्ही मालवेअरचे विविध प्रकार ओळखू शकाल, स्थिर आणि गतिशील विश्लेषण तंत्रे समजून घ्याल आणि सुरक्षित विश्लेषण वातावरण सेट करू शकाल.

सुरक्षा चेतावणी

मालवेअर विश्लेषण नेहमी आयसोलेटेड वातावरणात (सँडबॉक्स/VM) करावे. प्रॉडक्शन सिस्टम किंवा नेटवर्कशी जोडलेल्या मशीनवर मालवेअर चालवू नये.

मालवेअर प्रकार

💣

व्हायरस

इतर फाइल्समध्ये स्वतःला जोडतो आणि पसरतो. वापरकर्त्याच्या कृतीने सक्रिय होतो.

🐛

वर्म

स्वतंत्रपणे पसरतो, वापरकर्त्याच्या कृतीची आवश्यकता नाही. नेटवर्कद्वारे प्रसार.

🎮

ट्रोजन

वैध सॉफ्टवेअर म्हणून वेषांतर करतो परंतु दुर्भावनापूर्ण क्रियाकलाप करतो.

🔒

रॅन्समवेअर

फाइल्स एन्क्रिप्ट करतो आणि डिक्रिप्शनसाठी खंडणी मागतो.

👁

स्पायवेअर

वापरकर्त्याच्या क्रियाकलापांची गुप्तपणे हेरगिरी करतो.

💻

रूटकिट

OS मध्ये खोलवर लपतो, शोधणे कठीण. प्रशासकीय प्रवेश देतो.

📱

बॉटनेट

संक्रमित संगणकांचे नेटवर्क जे दूरस्थपणे नियंत्रित केले जाते.

क्रिप्टोमायनर

पीडिताच्या संगणकाचा वापर करून क्रिप्टोकरन्सी मायनिंग करतो.

स्थिर विश्लेषण (Static Analysis)

स्थिर विश्लेषणात मालवेअर चालवल्याशिवाय त्याचे विश्लेषण केले जाते. हे सुरक्षित पण मर्यादित माहिती देते.

तंत्रे

  • फाइल हॅशिंग: MD5/SHA हॅश गणना करून ज्ञात मालवेअर डेटाबेसशी तुलना
  • स्ट्रिंग विश्लेषण: फाइलमधील वाचनीय मजकूर शोधणे (URL, IP, फंक्शन नावे)
  • फाइल फॉर्मॅट: PE हेडर, इम्पोर्ट्स, एक्सपोर्ट्स तपासणे
  • पॅकिंग शोध: UPX, Themida सारखे पॅकर्स ओळखणे
  • डिसअसेंबली: मशीन कोड असेंबली भाषेत रूपांतरित करणे

साधने

  • strings: फाइलमधील ASCII/Unicode स्ट्रिंग्स काढणे
  • PEiD / Detect It Easy: पॅकर आणि कंपाइलर ओळखणे
  • PE Explorer / CFF Explorer: PE फाइल संरचना विश्लेषण
  • IDA Pro / Ghidra: डिसअसेंबलर आणि डीकंपाइलर
  • VirusTotal: ऑनलाइन मालवेअर स्कॅनिंग सेवा
🎯 व्यावहारिक उदाहरण

स्ट्रिंग विश्लेषण: संशयास्पद फाइलमध्ये "strings" कमांड वापरल्यावर "http://malicious-server.com/download" आणि "bitcoin-wallet" सारखे स्ट्रिंग्स आढळले. हे सूचित करते की मालवेअर अतिरिक्त पेलोड डाउनलोड करतो आणि क्रिप्टो-संबंधित क्रियाकलाप करू शकतो.

गतिशील विश्लेषण (Dynamic Analysis)

गतिशील विश्लेषणात मालवेअर नियंत्रित वातावरणात चालवला जातो आणि त्याचे वर्तन निरीक्षण केले जाते.

निरीक्षण क्षेत्रे

  • फाइल सिस्टम बदल: तयार केलेल्या, बदललेल्या, हटवलेल्या फाइल्स
  • रजिस्ट्री बदल: नवीन की, बदललेल्या मूल्ये
  • प्रक्रिया क्रियाकलाप: नवीन प्रक्रिया, इंजेक्शन
  • नेटवर्क क्रियाकलाप: कनेक्शन्स, DNS क्वेरी, डेटा ट्रान्सफर
  • सिस्टम कॉल्स: API कॉल्स, सिस्टम संसाधन वापर

साधने

  • Process Monitor: फाइल, रजिस्ट्री, प्रक्रिया क्रियाकलाप मॉनिटरिंग
  • Process Explorer: चालू प्रक्रियांचे तपशीलवार दृश्य
  • Wireshark: नेटवर्क ट्रॅफिक कॅप्चर
  • Regshot: रजिस्ट्री बदल तुलना
  • API Monitor: API कॉल्स ट्रॅकिंग

सँडबॉक्स वातावरण

मालवेअर विश्लेषणासाठी सुरक्षित, आयसोलेटेड वातावरण आवश्यक आहे.

सेटअप आवश्यकता

  • व्हर्च्युअल मशीन: VMware, VirtualBox वापरून आयसोलेटेड VM
  • नेटवर्क आयसोलेशन: होस्ट-ओन्ली किंवा नेटवर्क पूर्णपणे बंद
  • स्नॅपशॉट: विश्लेषणापूर्वी क्लीन स्नॅपशॉट घेणे
  • शेअर्ड फोल्डर्स बंद: होस्ट सिस्टमशी संबंध तोडणे

ऑनलाइन सँडबॉक्स सेवा

🌐

Any.Run

इंटरॅक्टिव्ह ऑनलाइन मालवेअर सँडबॉक्स. रिअल-टाइम विश्लेषण.

🔎

Hybrid Analysis

CrowdStrike Falcon Sandbox. मोफत आणि सशुल्क पर्याय.

📊

Joe Sandbox

सखोल विश्लेषण आणि विस्तृत अहवाल.

🔧

Cuckoo Sandbox

ओपन-सोर्स स्वयंचलित मालवेअर विश्लेषण प्रणाली.

VM डिटेक्शन

काही अत्याधुनिक मालवेअर VM वातावरण ओळखतात आणि त्यामध्ये वेगळे वर्तन करतात (किंवा चालत नाहीत). याला "सँडबॉक्स इव्हेजन" म्हणतात. अशा मालवेअरसाठी VM हार्डनिंग किंवा बेअर-मेटल विश्लेषण आवश्यक असू शकते.

IOC (Indicators of Compromise)

मालवेअर विश्लेषणातून मिळालेले IOC इतर सिस्टम्स तपासण्यासाठी आणि भविष्यातील हल्ले ओळखण्यासाठी वापरले जातात.

IOC प्रकार

  • फाइल हॅश: मालवेअर फाइलचे MD5/SHA हॅश
  • IP पत्ते: C2 (Command & Control) सर्व्हर पत्ते
  • डोमेन नावे: मालवेअर संवाद साधत असलेले डोमेन
  • URL: पेलोड डाउनलोड URL
  • रजिस्ट्री की: मालवेअरने तयार केलेल्या/बदललेल्या की
  • फाइल पथ: मालवेअर इंस्टॉलेशन स्थाने
  • म्युटेक्स नावे: एकाधिक संसर्ग टाळण्यासाठी वापरलेले नावे

अहवाल

मालवेअर विश्लेषण अहवालात खालील माहिती असावी:

  • नमुना माहिती (फाइल नाव, हॅश, आकार)
  • मालवेअर प्रकार आणि कुटुंब
  • वर्तन सारांश
  • तांत्रिक तपशील (API कॉल्स, नेटवर्क क्रियाकलाप)
  • IOC यादी
  • शिफारसी (ब्लॉक करण्यासाठी IP, डोमेन)
मुख्य मुद्दे
  • मालवेअर विश्लेषण नेहमी आयसोलेटेड वातावरणात (VM/सँडबॉक्स) करावे
  • स्थिर विश्लेषण मालवेअर चालवल्याशिवाय केले जाते (सुरक्षित पण मर्यादित)
  • गतिशील विश्लेषणात मालवेअर चालवून त्याचे वर्तन निरीक्षण केले जाते
  • व्हायरस, वर्म, ट्रोजन, रॅन्समवेअर हे प्रमुख मालवेअर प्रकार आहेत
  • IOC (Indicators of Compromise) इतर सिस्टम्स तपासण्यासाठी वापरले जातात
  • काही मालवेअर VM ओळखतात आणि वेगळे वर्तन करतात
  • VirusTotal, Any.Run, Hybrid Analysis सारख्या ऑनलाइन सेवा प्रारंभिक विश्लेषणासाठी उपयुक्त
मागील: पॅकेट विश्लेषण पुढील: क्लाउड फॉरेन्सिक्स