// Malware Analysis & Reverse Engineering
Malware analiza — razumjeti neprijatelja iznutra
Malware analiza je disciplina disekovanja zlonamjernog softvera kako bi se razumjelo šta radi, kako se širi, kako komunicira s napadačima i kako ga detektovati ili neutralisati.
Postoje dva osnovna pristupa: Statična analiza — pregled malwarea bez pokretanja (analiza koda, stringova, uvezenih funkcija, enkripcije) i Dinamička analiza — pokretanje malwarea u kontrolisanom okruženju (sandbox) i praćenje ponašanja. Napredna analiza uključuje reverse engineering — dekompilaciju i disasemblovanje mašinskog koda. Analitičari pišu YARA pravila za detekciju i Snort/Suricata pravila za mrežnu detekciju C2 komunikacije.
Nikada ne pokrećeš malware van sandboxa — izolacija je apsolutna. Jedan propust i kompromituješ cijelu mrežu.
Misija, Vizija, Koncept
Misija
Misija
Izgraditi kapacitete za dubinsku analizu zlonamjernog softvera koji targetira regionalne organizacije — od commodity malwarea do sofisticiranih APT alata.
Vizija
Vizija
Uspostaviti malware istraživački tim sposoban za pravovremenu analizu novih prijetnji i dijeljenje threat intelligence-a s nacionalnim CERT-om i regionalnim partnerima.
Koncept
Koncept
Malware Lab koristi strogo izoliranu sandbox infrastrukturu s automatizovanim i manualnim analizama — svaki uzorak prolazi kroz statičku, dinamičku i naprednu analizu uz automatsko kreiranje YARA i Sigma pravila.
Infrastruktura
| Komponenta | Opis i namjena |
|---|---|
| Izolovani sandbox lab | Potpuno odvojena fizička mreža ili air-gapped VM okruženje — bez pristupa internetu/intranetu |
| Sandbox server | Min. 64GB RAM, 8-core CPU — hosting više sandbox VM-ova istovremeno |
| GPU server | RTX 4080/4090 — ubrzanje deobfuskacije, ML klasifikacije i hash crackinga |
| Analitička workstation | Min. 32GB RAM, dual monitor — reverse engineering i statična analiza |
| INetSim / FakeNet | Simulacija mrežnih servisa (DNS, HTTP, SMTP) za malware koji traži C2 komunikaciju |
| Snapshot management | VMware/Proxmox snapshot sistem — brzi povratak na čisto stanje nakon svake analize |
Hardware
Sandbox okruženje
- Server min. 128GB RAM za istovremeno više sandbox VM-ova
- GPU (RTX 4080+) — ubrzanje ML modela i hash analiza
- Izolovani switch — sandbox mreža nikad ne smije biti spojena s produkcijom
- Snimanje mrežnog prometa — Wireshark tap, PCAP storage
- USB write blocker — za uvođenje uzoraka bez rizika od infekcije
Analitička oprema
- Analitička workstation — Ryzen 9 / i9, 64GB RAM, NVMe 1TB
- Dual monitor setup za paralelni rad (disassembler + hex editor)
- Izolovani laptop za ručno testiranje (bez mreže, bez shared storage)
- ASUS Tinker Board — ARM malware analiza (ARM specifični uzorci)
- Hardware debugger (JTAG) — za firmware i embedded malware analizu
Software
FREE
Cuckoo Sandbox / CAPE
Open-source automatizovani sandbox — dinamička analiza u VM okruženju
FREE
IDA Free / Ghidra (NSA)
Disassembler i decompiler — statična analiza mašinskog koda
FREE
x64dbg / OllyDbg
Dinamički debugger — korak po korak praćenje izvršavanja malwarea
FREE
YARA
Pattern matching za kreiranje detection potpisa za malware porodice
FREE
PEstudio / PE-bear
Analiza Windows PE izvršnih datoteka — headeri, importi, stringovi
FREE
Wireshark + NetworkMiner
Analiza mrežne komunikacije malwarea (C2 protokoli, exfiltracija)
FREE
VirusTotal / MalwareBazaar
Baze poznatih uzoraka — provjera hasha i reputacije datoteke
~1.500€/god
ANY.RUN
Interaktivni online sandbox — analiza u browseru s realtime API konekcijom
od 1.400€
IDA Pro
Industrijski standard za reverse engineering — profesionalna verzija IDA Free
FREE
dnSpy / DotPeek
Decompiler za .NET malware — rekonstrukcija C# koda iz binarnih datoteka