Malware Analysis
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
https://www.jaiminton.com/cheatsheet/DFIR/#
Użyj tego skryptu, aby pobrać i połączyć wszystkie zasady yara dotyczące złośliwego oprogramowania z github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Utwórz katalog rules i uruchom go. To stworzy plik o nazwie malware_rules.yar, który zawiera wszystkie zasady yara dotyczące złośliwego oprogramowania.
Możesz użyć narzędzia YaraGen do generowania reguł yara z pliku binarnego. Sprawdź te samouczki: Część 1, Część 2, Część 3
Capa wykrywa potencjalnie złośliwe zdolności w plikach wykonywalnych: PE, ELF, .NET. Zatem znajdzie takie rzeczy jak taktyki Att&ck lub podejrzane zdolności, takie jak:
sprawdzenie błędu OutputDebugString
uruchomienie jako usługa
utworzenie procesu
Pobierz to w repozytorium Github.
IOC oznacza Wskaźnik Kompromitacji. IOC to zestaw warunków, które identyfikują potencjalnie niechciane oprogramowanie lub potwierdzone złośliwe oprogramowanie. Zespoły Blue używają tego rodzaju definicji do wyszukiwania tego rodzaju złośliwych plików w swoich systemach i sieciach. Dzielenie się tymi definicjami jest bardzo przydatne, ponieważ gdy złośliwe oprogramowanie zostanie zidentyfikowane na komputerze i utworzone zostanie IOC dla tego złośliwego oprogramowania, inne zespoły Blue mogą go użyć do szybszej identyfikacji złośliwego oprogramowania.
Narzędziem do tworzenia lub modyfikowania IOC jest IOC Editor. Możesz użyć narzędzi takich jak Redline, aby wyszukiwać zdefiniowane IOC w urządzeniu.
Loki to skaner dla prostych wskaźników kompromitacji. Wykrywanie opiera się na czterech metodach wykrywania:
Linux Malware Detect (LMD) to skaner złośliwego oprogramowania dla systemu Linux wydany na licencji GNU GPLv2, zaprojektowany z myślą o zagrożeniach występujących w środowiskach współdzielonych. Wykorzystuje dane o zagrożeniach z systemów wykrywania intruzów na krawędzi sieci, aby wyodrębnić złośliwe oprogramowanie, które jest aktywnie wykorzystywane w atakach, i generuje sygnatury do wykrywania. Dodatkowo dane o zagrożeniach pochodzą również z zgłoszeń użytkowników z funkcji LMD checkout oraz zasobów społeczności złośliwego oprogramowania.
Narzędzia takie jak rkhunter mogą być używane do sprawdzania systemu plików pod kątem możliwych rootkitów i złośliwego oprogramowania.
FLOSS to narzędzie, które spróbuje znaleźć zafałszowane ciągi w plikach wykonywalnych, używając różnych technik.
PEpper sprawdza podstawowe rzeczy w pliku wykonywalnym (dane binarne, entropię, adresy URL i IP, niektóre reguły yara).
PEstudio to narzędzie, które pozwala uzyskać informacje o plikach wykonywalnych Windows, takie jak importy, eksporty, nagłówki, ale także sprawdzi virus total i znajdzie potencjalne techniki Att&ck.
DiE to narzędzie do wykrywania, czy plik jest szyfrowany oraz do znajdowania packerów.
NeoPI to skrypt w Pythonie, który wykorzystuje różnorodne metody statystyczne do wykrywania zafałszowanej i szyfrowanej zawartości w plikach tekstowych/skryptowych. Celem NeoPI jest pomoc w wykrywaniu ukrytego kodu web shell.
PHP-malware-finder robi wszystko, co w jego mocy, aby wykryć zafałszowany/podejrzany kod, a także pliki używające funkcji PHP często stosowanych w malware/webshellach.
Podczas sprawdzania niektórych próbek malware zawsze powinieneś sprawdzić podpis pliku binarnego, ponieważ deweloper, który go podpisał, może być już powiązany z malware.
Jeśli wiesz, że jakiś folder zawierający pliki serwera WWW był ostatnio aktualizowany w jakiejś dacie. Sprawdź datę wszystkich plików w serwerze WWW, które zostały utworzone i zmodyfikowane, a jeśli jakakolwiek data jest podejrzana, sprawdź ten plik.
Jeśli pliki w folderze nie powinny były być modyfikowane, możesz obliczyć hash oryginalnych plików folderu i porównać je z aktualnymi. Wszystko, co zostało zmodyfikowane, będzie podejrzane.
Gdy informacje są zapisywane w logach, możesz sprawdzić statystyki, takie jak ile razy każdy plik serwera WWW był otwierany, ponieważ web shell może być jednym z najczęstszych.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)