Blue Teams | 10 ноября 2025

Нам подбросили "зловред": Полное руководство по базовому анализу вредоносного ПО своими руками

Что делать, если вы нашли подозрительный файл?

Представьте ситуацию: ваша компания обнаружила странный файл на рабочей станции. Антивирусная программа либо молчит, либо выдает неясное, общее название угрозы. Возможно, сотрудник получил фишинговое письмо с вложением, которое успешно обошло все корпоративные фильтры, или скачал "срочный" документ с неизвестного ресурса. Возникает закономерный вопрос: что дальше? Паниковать или игнорировать — плохие варианты. Правильный ответ — провести анализ.

Это практическое руководство создано, чтобы помочь IT-специалистам и начинающим аналитикам по информационной безопасности разобраться, как провести базовый анализ подозрительного файла, используя доступные инструменты и безопасные методики. Вам не нужно быть элитным реверс-инженером, чтобы получить ценную информацию о потенциальной угрозе.

Почему это критически важно в современных реалиях?

Киберугрозы становятся все более изощренными и частыми. По данным исследований, в 2024 году количество атак с использованием программ-вымогателей выросло на 44% по сравнению с предыдущим годом. Такие угрозы, как Agent Tesla и Emotet, постоянно эволюционируют, нацеливаясь на корпоративные сети по всему миру. Например, в 2024 году на долю шифровальщиков и ПО для удаленного управления приходилось 42% и 38% успешных атак на организации соответственно. Крупные атаки приводят к многомиллионным убыткам и полной остановке бизнес-процессов.

Понимание того, что делает вредоносная программа, помогает:

Быстро оценить масштаб угрозы: Это простой стилер паролей или полноценный бэкдор, дающий злоумышленнику полный контроль над системой?
Определить индикаторы компрометации (IOC): Найти уникальные хэши, IP-адреса или доменные имена для блокировки угрозы на уровне всей сети.
Понять, какие данные могли быть скомпрометированы: Были ли украдены учетные данные, финансовая информация или конфиденциальные документы?
Подготовить адекватный ответ на инцидент: Предоставить команде реагирования (IR) конкретные данные для сдерживания и устранения угрозы.

Два уровня анализа: Статика и Динамика

Анализ вредоносного ПО делится на два основных подхода: статический и динамический.

Статический анализ — это изучение файла без его фактического запуска. Вы исследуете его структуру, метаданные, текстовые строки и другие артефакты, чтобы понять его потенциальное предназначение. Это первый и самый безопасный шаг.
Динамический анализ — это контролируемый запуск вредоносного ПО в изолированной среде (песочнице) для наблюдения за его реальным поведением. Этот метод позволяет увидеть, какие файлы создаются, с какими серверами устанавливается связь и какие изменения вносятся в операционную систему.

Уровень 1: Статический анализ — изучаем, не запуская

На этом этапе наша цель — собрать максимум информации о файле, не давая ему ни единого шанса исполнить свой вредоносный код.

Шаг 1: Вычисление и проверка хэшей файла

Первое и обязательное действие с любым подозрительным файлом — вычисление его криптографических хэшей (MD5, SHA-1, SHA-256). Хэш — это уникальный цифровой отпечаток, который позволяет быстро проверить, является ли этот образец уже известной угрозой.

Инструменты:

Linux: md5sum, sha1sum, sha256sum
Windows: Встроенная команда PowerShell Get-FileHash или утилиты вроде HashCalc.

Практический пример:

Шаг 1. Хэш

sha256sum suspicious_file.exe
Результат будет выглядеть примерно так:

691c65e4fb1d19f82465df1d34ad51aaeceba14a78167262dc7b2840a6a6aa87
Полученный хэш необходимо проверить в онлайн-базах данных угроз:

*   VirusTotal: Крупнейший агрегатор, который сканирует файл или хэш с помощью более чем 70 антивирусных движков и предоставляет отчеты о поведении.
*   Malware Bazaar: Репозиторий для обмена образцами вредоносного ПО, где можно найти и скачать связанные файлы.
*   Hybrid Analysis: Бесплатная облачная песочница, которая также предоставляет отчеты по статическому анализу.

Реальный случай: При анализе кампании LokiBot, обнаруженной FortiGuard Labs, исходный архив имел один хэш. После распаковки извлеченный исполняемый файл был идентифицирован по другому, уже известному хэшу как инфостилер LokiBot, нацеленный на кражу учетных данных.

Шаг 2: Глубокий анализ в VirusTotal

VirusTotal — это не просто проверка на антивирусы. Это мощнейшая платформа, которая предоставляет исчерпывающую информацию. После загрузки файла или ввода его хэша платформа:
*   Показывает количество антивирусов, пометивших файл как вредоносный.
*   Предоставляет теги, описывающие поведение (например, `network-comms`, `persists`, `stealer`).
*   Отображает связанные домены, IP-адреса и другие IOC.
*   Показывает историю распространения файла и его имена.

Важное ограничение: Загружая файл в VirusTotal, вы делаете его общедоступным. Если образец содержит конфиденциальную информацию, используйте приватные песочницы или локальные инструменты.

Шаг 3: Извлечение строк с помощью Strings

Любой исполняемый файл содержит текстовые строки, которые могут раскрыть его намерения. Утилита **Strings** (из пакета Sysinternals для Windows или встроенная в Linux) извлекает все читаемые последовательности символов.

Что можно найти:
*   URL-адреса и IP-адреса командных C2-серверов.
*   Email-адреса для отправки украденных данных.
*   Имена библиотек (DLL) и вызовы функций API.
*   Сообщения для пользователя (например, требования выкупа).
*   Пути к ключам реестра для механизмов закрепления в системе (persistence).

Команда для Windows:
strings64.exe -n 6 malware.exe > output.txt

Параметр -n 6 задает минимальную длину строки (6 символов), что помогает отфильтровать случайный "шум".

Что искать в выводе:

URL и домены: http://malicious-c2.com/gate.php
IP-адреса: 23.83.133.8
Ключи реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
User-Agent строки: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Вызовы API: CreateRemoteThread, InternetReadFile

Современный инструмент mStrings, написанный на Rust, идет дальше: он использует регулярные выражения для автоматического выявления ключевых индикаторов и даже сопоставляет их с техниками из матрицы MITRE ATT&CK.

Шаг 4: Анализ PE-заголовков с PEStudio

Для исполняемых файлов Windows (формат PE — Portable Executable) анализ заголовка раскрывает массу информации. PE-заголовок — это метаданные файла, включающие дату компиляции, импортируемые библиотеки, секции кода и данных.

PEStudio — превосходная бесплатная утилита, которая автоматизирует этот процесс.

Ключевые элементы для анализа:

Хэши и подпись: PEStudio вычисляет хэши и проверяет цифровую подпись. Отсутствие подписи у файла, который должен ее иметь (например, системный драйвер), — красный флаг.
Первые байты: PE-файлы всегда начинаются с байтов 4D 5A (в ASCII: "MZ"). Это подтверждает, что перед нами исполняемый файл.
Энтропия: Показатель случайности данных в файле (по шкале от 0 до 8). Значения выше 7 часто указывают на то, что файл упакован или зашифрован. Упаковщики (например, UPX) используются для сокрытия реального кода от аналитиков.
Импортируемые функции (Imports): Это список API-функций, которые программа вызывает из системных библиотек. Подозрительные комбинации могут указывать на вредоносные действия:
- VirtualAllocEx, WriteProcessMemory, CreateRemoteThread — классические признаки внедрения кода в другие процессы (process injection).
- InternetOpenA, InternetReadFile — сетевые коммуникации.
- CreateServiceA, RegSetValueExA — создание служб и закрепление в реестре.
Секции файла: Обратите внимание на секции с необычными именами или с флагами на исполнение и запись одновременно — это может быть место для распаковки вредоносного кода.

Шаг 5: Создание YARA-правил для охоты на угрозы

YARA — это инструмент для идентификации и классификации вредоносных образцов на основе текстовых или бинарных паттернов. Создав YARA-правило на основе уникальных строк или байтовых последовательностей, найденных в файле, вы можете сканировать всю инфраструктуру на наличие похожих угроз.

Базовая структура YARA-правила:

rule Detect_Agent_Tesla_Strings {
    meta:
        author = "Security Analyst"
        description = "Detects Agent Tesla infostealer based on common strings"
        date = "2025-11-10"
    
    strings:
        $s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii wide
        $s2 = "Login Data" ascii wide
        $s3 = "SmtpClient" ascii wide
        $pe_header = { 4D 5A } // PE header magic bytes

    condition:
        $pe_header at 0 and 2 of ($s1, $s2, $s3)
}

Это правило будет срабатывать на PE-файлы, которые содержат как минимум две из трех характерных для Agent Tesla строк.

Уровень 2: Динамический анализ — безопасный запуск в песочнице

Динамический анализ позволяет увидеть, что вредоносная программа делает на самом деле. Этот этап требует максимальной осторожности и строго изолированной среды.

Подготовка изолированной среды (Sandbox)

Золотое правило: никогда не запускайте потенциально вредоносный файл на рабочей машине или в производственной сети!

Требования к песочнице:

Виртуализация: VMware Workstation, VirtualBox, Hyper-V.
Ресурсы: Минимум 4 ГБ ОЗУ, 2 ядра ЦП, 60-80 ГБ дискового пространства. Современные зловреды умеют определять "слабые" ВМ и не запускаться в них.
*Операционная система: Windows 10/11, так как большинство вредоносных программ нацелены на Windows.
Изоляция сети:
- Host-Only Network: Полная изоляция от интернета и локальной сети.
- NAT с ограничениями: Для анализа сетевой активности, но с блокировкой доступа к внутренним ресурсам.
Снэпшоты (Snapshots): Обязательно создайте "чистый" снэпшот системы до анализа. Это позволит мгновенно откатиться к исходному состоянию после эксперимента.

Эмуляция реальной среды:
Современное вредоносное ПО использует техники обхода песочниц. Оно может проверять наличие признаков виртуальной машины (например, специфические драйверы VMware), низкое разрешение экрана, небольшой объем диска или отсутствие активности пользователя. Чтобы обмануть его:

Установите популярное ПО: MS Office, Chrome, Adobe Reader.
Создайте несколько файлов на рабочем столе и в папке "Документы".
Подвигайте мышью перед запуском зловреда.

Инструменты для динамического анализа

Process Monitor (Procmon)
Утилита из пакета Sysinternals, которая регистрирует в реальном времени все обращения к файловой системе, реестру, а также создание процессов и потоков.
- Как использовать: Запустите Procmon, настройте фильтр на имя вашего вредоносного процесса (Process Name is malware.exe), запустите зловред, остановите захват и проанализируйте логи.
- Что искать:
  - Изменения в реестре: Ключи Run, RunOnce для закрепления.
  - Сброшенные файлы (Dropped files): Создание новых .exe, .dll файлов в папках %AppData%, %Temp%.
  - Внедрение в процессы: Операции WriteProcessMemory, нацеленные на легитимные процессы, такие как explorer.exe.
Regshot — сравнение состояния реестра
Эта простая утилита делает два снимка реестра Windows: до и после запуска зловреда. Затем она генерирует отчет, показывающий все добавленные, измененные и удаленные ключи. Это самый быстрый способ найти механизмы закрепления.
Autoruns — детектирование механизмов persistence
Еще одна утилита от Sysinternals, которая показывает все места в системе, откуда могут автоматически запускаться программы: ключи реестра, папки автозагрузки, запланированные задачи, службы и многое другое. Сравнив вывод Autoruns на чистой и зараженной системе, можно легко выявить новые точки автозапуска.
Wireshark — анализ сетевого трафика
Мощный анализатор сетевых протоколов, который перехватывает весь трафик. Он незаменим, чтобы увидеть:
- Подключения к C2-серверам.
- Отправку (эксфильтрацию) украденных данных.
- Загрузку дополнительных модулей.
- DNS-запросы к вредоносным доменам.
- Что искать: Нешифрованный HTTP-трафик, странные DNS-запросы, подключения к IP-адресам из нетипичных стран, необычные User-Agent.
Сетевая эмуляция: FakeNet-NG
Многие зловреды не запустятся, если не обнаружат подключения к интернету. FakeNet-NG эмулирует популярные сетевые сервисы (DNS, HTTP, SMTP), заставляя вредоносное ПО "думать", что оно онлайн. Весь его сетевой трафик при этом перехватывается, логируется и сохраняется в .pcap файл для последующего анализа в Wireshark.

Автоматизированные песочницы

Для более быстрого анализа существуют готовые решения:

Cuckoo Sandbox: Open-source платформа для автоматического анализа. Вы загружаете файл, а Cuckoo самостоятельно запускает его в ВМ и генерирует подробный отчет.
ANY.RUN: Интерактивная облачная песочница, которая позволяет в реальном времени взаимодействовать с зараженной системой: кликать по кнопкам, вводить данные, открывать файлы. Это помогает анализировать многоступенчатые атаки.
Joe Sandbox, Hybrid Analysis: Мощные коммерческие и условно-бесплатные платформы с расширенным функционалом.

Практический пример: Анализ цепочки атаки Emotet

Emotet — один из самых опасных банковских троянов-загрузчиков, который продолжает оставаться серьезной угрозой.
1. Вектор: Пользователь получает фишинговое письмо с документом Word или Excel, защищенным паролем.
2. Макрос: Документ предлагает включить макросы для просмотра содержимого. После включения выполняется обфусцированный PowerShell-скрипт.
3. Загрузка: Скрипт скачивает основную DLL Emotet с одного из C2-серверов.
4. Закрепление и распространение: Emotet закрепляется в системе через ключи реестра или запланированные задачи. Затем он крадет учетные данные из почтовых клиентов и браузеров и начинает рассылать фишинговые письма контактам жертвы, используя ее почтовый ящик.

Как бы мы это анализировали:

Статический анализ (.xlsm файла): Извлечение строк выявило бы PowerShell-скрипт.
Динамический анализ в песочнице:
- Procmon показал бы запуск powershell.exe процессом WINWORD.EXE, а затем сетевую активность и создание DLL-файла в системе.
- Autoruns обнаружил бы новый ключ в CurrentVersion\Run.
- Wireshark зафиксировал бы DNS-запросы и подключения к IP-адресам C2-серверов.

Извлечение и использование индикаторов компрометации (IOC)

Результатом вашего анализа должен стать структурированный список IOC.

Типы IOC:

Хэши файлов: MD5, SHA-256.
IP-адреса и домены: C2-серверы.
URL: Полные пути к загружаемым файлам.
Имена файлов и пути: Например, C:\Users\Admin\AppData\Local\Temp\update.exe.
Ключи реестра: Пути к ключам автозапуска.
Mutexes: Уникальные идентификаторы, которые зловред создает, чтобы не запускать несколько своих копий.
Сетевые артефакты: Специфичные User-Agent, HTTP-заголовки.

Эти IOC используются для настройки правил на файрволах, прокси-серверах, в системах SIEM и EDR для блокировки угрозы и поиска других зараженных машин в сети.

Категории