Malware Analysis
Last updated
Last updated
Naučite i vežbajte hakovanje AWS-a:HackTricks Training AWS Red Team Expert (ARTE) Naučite i vežbajte hakovanje GCP-a: HackTricks Training GCP Red Team Expert (GRTE)
https://www.jaiminton.com/cheatsheet/DFIR/#
Koristite ovaj skript za preuzimanje i spajanje svih yara pravila za zlonamjerni softver sa github-a: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Kreirajte direktorijum rules i izvršite ga. Ovo će kreirati datoteku nazvanu malware_rules.yar koja koja sadrži sva yara pravila za zlonamjerni softver.
Možete koristiti alatku YaraGen za generisanje yara pravila iz binarnog fajla. Pogledajte ove tutorijale: Deo 1, Deo 2, Deo 3
Capa otkriva potencijalno zlonamerne sposobnosti u izvršnim datotekama: PE, ELF, .NET. Tako će pronaći stvari poput Att&ck taktika ili sumnjivih sposobnosti kao što su:
provera greške OutputDebugString
pokretanje kao servis
kreiranje procesa
Preuzmite ga sa Github repozitorijuma.
IOC znači Indikator kompromitovanja. IOC je skup uslova koji identifikuju potencijalno neželjen softver ili potvrđeni malver. Plave ekipe koriste ovu vrstu definicije da traže ovu vrstu zlonamernih datoteka na svojim sistemima i mrežama. Deljenje ovih definicija je veoma korisno jer kada se malver identifikuje na računaru i IOC za taj malver bude kreiran, druge Plave ekipe ga mogu koristiti da identifikuju malver brže.
Alat za kreiranje ili modifikaciju IOCa je IOC Editor. Možete koristiti alate poput Redline da tražite definisane IOCe na uređaju.
Loki je skener za Jednostavne Indikatore kompromitovanja. Detekcija se zasniva na četiri metode detekcije:
Linux Malware Detect (LMD) je skener malvera za Linux koji je objavljen pod GNU GPLv2 licencom, a dizajniran je oko pretnji sa kojima se susreću u deljenim hosting okruženjima. Koristi podatke o pretnjama iz sistema za otkrivanje upada na mrežnom rubu kako bi izdvojio malver koji se aktivno koristi u napadima i generiše potpise za detekciju. Pored toga, podaci o pretnjama takođe potiču iz korisničkih podnesaka sa funkcijom provere LMD i resursima zajednice malvera.
Alati poput rkhunter mogu se koristiti za proveru datotečnog sistema radi mogućih rootkitova i malvera.
FLOSS je alatka koja će pokušati da pronađe prikrivene stringove unutar izvršnih datoteka koristeći različite tehnike.
PEpper proverava neke osnovne stvari unutar izvršne datoteke (binarni podaci, entropija, URL-ovi i IP adrese, neka yara pravila).
PEstudio je alatka koja omogućava dobijanje informacija o Windows izvršnim datotekama kao što su uvozi, izvozi, zaglavlja, ali takođe će proveriti VirusTotal i pronaći potencijalne Att&ck tehnike.
DiE je alatka za otkrivanje da li je datoteka šifrovana i takođe pronalazi pakere.
NeoPI je Python skripta koja koristi različite statističke metode za otkrivanje prikrivenog i šifrovanog sadržaja unutar tekstualnih/skript fajlova. Namera NeoPI-ja je da pomogne u otkrivanju skrivenog koda web ljuski.
PHP-malware-finder daje sve od sebe da otkrije prikriveni/sumnjivi kod kao i fajlove koji koriste PHP funkcije često korištene u malverima/web ljuskama.
Prilikom provere nekog uzorka malvera uvek treba proveriti potpis binarne datoteke jer razvojni programer koji ju je potpisao može već biti povezan sa malverom.
Ako znate da je neki folder koji sadrži fajlove veb servera poslednji put ažuriran na određeni datum. Proverite datum kada su fajlovi na veb serveru kreirani i menjani i ako je bilo koji datum sumnjiv, proverite taj fajl.
Ako fajlovi u folderu ne bi trebalo da su menjani, možete izračunati heš originalnih fajlova iz foldera i uporediti ih sa trenutnim. Sve što je izmenjeno biće sumnjivo.
Kada se informacije čuvaju u logovima, možete proveriti statistiku kao što je koliko puta je svaki fajl veb servera pristupan jer bi web ljuska mogla biti jedna od najčešćih.
Naučite i vežbajte hakovanje AWS-a:HackTricks Obuka AWS Crveni Tim Stručnjak (ARTE) Naučite i vežbajte hakovanje GCP-a: HackTricks Obuka GCP Crveni Tim Stručnjak (GRTE)
