Malware Analysis
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
https://www.jaiminton.com/cheatsheet/DFIR/#
Use this script to download and merge all the yara malware rules from github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Create the rules directory and execute it. This will create a file called malware_rules.yar which contains all the yara rules for malware.
Možete koristiti alat YaraGen za generisanje yara pravila iz binarnog fajla. Pogledajte ove tutorijale: Deo 1, Deo 2, Deo 3
Capa detektuje potencijalno zlonamerne mogućnosti u izvršnim datotekama: PE, ELF, .NET. Tako će pronaći stvari kao što su Att&ck taktike, ili sumnjive mogućnosti kao što su:
provera za OutputDebugString grešku
pokretanje kao servis
kreiranje procesa
Preuzmite ga u Github repozitorijumu.
IOC znači Indikator Kompromitacije. IOC je skup uslova koji identifikuju neki potencijalno neželjen softver ili potvrđeni malver. Plave ekipe koriste ovu vrstu definicije da traže ovakve zlonamerne datoteke u svojim sistemima i mrežama. Deljenje ovih definicija je veoma korisno jer kada se malver identifikuje na računaru i kreira se IOC za taj malver, druge Plave ekipe mogu to koristiti da brže identifikuju malver.
Alat za kreiranje ili modifikovanje IOCs je IOC Editor. Možete koristiti alate kao što su Redline da tražite definisane IOCs na uređaju.
Loki je skener za Simple Indicators of Compromise. Detekcija se zasniva na četiri metode detekcije:
Linux Malware Detect (LMD) је скенер за малвер за Linux који је објављен под GNU GPLv2 лиценцом, а дизајниран је око претњи са којима се суочавају у делјеним хостованим окружењима. Користи податке о претњама из система за детекцију упада на мрежном ивицу да би извукао малвер који се активно користи у нападима и генерише потписе за детекцију. Поред тога, подаци о претњама се такође добијају од корисничких поднесака са LMD функцијом провере и ресурса за малвер заједницу.
Алатке као што су rkhunter могу се користити за проверавање датотечног система на могуће rootkit-ове и малвер.
FLOSS je alat koji pokušava da pronađe obfuskirane stringove unutar izvršnih datoteka koristeći različite tehnike.
PEpper proverava neke osnovne stvari unutar izvršne datoteke (binarni podaci, entropija, URL-ovi i IP adrese, neka yara pravila).
PEstudio je alat koji omogućava dobijanje informacija o Windows izvršnim datotekama kao što su uvozi, izvozi, zaglavlja, ali takođe proverava virus total i pronalazi potencijalne Att&ck tehnike.
DiE je alat za detekciju da li je datoteka kriptovana i takođe pronalazi pakere.
NeoPI je Python skripta koja koristi razne statističke metode za detekciju obfuskovanog i kriptovanog sadržaja unutar tekstualnih/skript datoteka. Namena NeoPI-a je da pomogne u detekciji skrivenog web shell koda.
PHP-malware-finder daje sve od sebe da detektuje obfuskovani/sumnjivi kod kao i datoteke koje koriste PHP funkcije često korišćene u malverima/webshell-ima.
Kada proveravate neki uzorak malvera, uvek treba da proverite potpis binarne datoteke jer razvijač koji je potpisao može već biti povezan sa malverom.
Ako znate da je neka fascikla koja sadrži fajlove web servera poslednji put ažurirana na neki datum. Proverite datum kada su svi fajlovi na web serveru kreirani i modifikovani i ako je neki datum sumnjiv, proverite taj fajl.
Ako fajlovi u fascikli ne bi trebali biti modifikovani, možete izračunati hash originalnih fajlova iz fascikle i uporediti ih sa trenutnim. Sve što je modifikovano će biti sumnjivo.
Kada su informacije sačuvane u logovima, možete proveriti statistiku kao što je koliko puta je svaki fajl web servera bio pristupljen, jer web shell može biti jedan od naj.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
