Malware Analysis
Forenzički CheatSheets
https://www.jaiminton.com/cheatsheet/DFIR/#
Online Servisi
Offline Antivirus i Alati za Detekciju
Yara
Instalacija
Priprema pravila
Koristite ovaj skript za preuzimanje i spajanje svih yara pravila za zlonamjerni softver sa github-a: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Kreirajte direktorijum rules i izvršite ga. Ovo će kreirati datoteku nazvanu malware_rules.yar koja koja sadrži sva yara pravila za zlonamjerni softver.
Skeniranje
YaraGen: Provera malvera i kreiranje pravila
Možete koristiti alatku YaraGen za generisanje yara pravila iz binarnog fajla. Pogledajte ove tutorijale: Deo 1, Deo 2, Deo 3
ClamAV
Instalacija
Skeniranje
Capa otkriva potencijalno zlonamerne sposobnosti u izvršnim datotekama: PE, ELF, .NET. Tako će pronaći stvari poput Att&ck taktika ili sumnjivih sposobnosti kao što su:
provera greške OutputDebugString
pokretanje kao servis
kreiranje procesa
Preuzmite ga sa Github repozitorijuma.
IOCs
IOC znači Indikator kompromitovanja. IOC je skup uslova koji identifikuju potencijalno neželjen softver ili potvrđeni malver. Plave ekipe koriste ovu vrstu definicije da traže ovu vrstu zlonamernih datoteka na svojim sistemima i mrežama. Deljenje ovih definicija je veoma korisno jer kada se malver identifikuje na računaru i IOC za taj malver bude kreiran, druge Plave ekipe ga mogu koristiti da identifikuju malver brže.
Alat za kreiranje ili modifikaciju IOCa je IOC Editor. Možete koristiti alate poput Redline da tražite definisane IOCe na uređaju.
Loki
Loki je skener za Jednostavne Indikatore kompromitovanja. Detekcija se zasniva na četiri metode detekcije:
Linux Malware Detect
Linux Malware Detect (LMD) je skener malvera za Linux koji je objavljen pod GNU GPLv2 licencom, a dizajniran je oko pretnji sa kojima se susreću u deljenim hosting okruženjima. Koristi podatke o pretnjama iz sistema za otkrivanje upada na mrežnom rubu kako bi izdvojio malver koji se aktivno koristi u napadima i generiše potpise za detekciju. Pored toga, podaci o pretnjama takođe potiču iz korisničkih podnesaka sa funkcijom provere LMD i resursima zajednice malvera.
rkhunter
Alati poput rkhunter mogu se koristiti za proveru datotečnog sistema radi mogućih rootkitova i malvera.
FLOSS
FLOSS je alatka koja će pokušati da pronađe prikrivene stringove unutar izvršnih datoteka koristeći različite tehnike.
PEpper
PEpper proverava neke osnovne stvari unutar izvršne datoteke (binarni podaci, entropija, URL-ovi i IP adrese, neka yara pravila).
PEstudio
PEstudio je alatka koja omogućava dobijanje informacija o Windows izvršnim datotekama kao što su uvozi, izvozi, zaglavlja, ali takođe će proveriti VirusTotal i pronaći potencijalne Att&ck tehnike.
Detect It Easy(DiE)
DiE je alatka za otkrivanje da li je datoteka šifrovana i takođe pronalazi pakere.
NeoPI
NeoPI je Python skripta koja koristi različite statističke metode za otkrivanje prikrivenog i šifrovanog sadržaja unutar tekstualnih/skript fajlova. Namera NeoPI-ja je da pomogne u otkrivanju skrivenog koda web ljuski.
php-malware-finder
PHP-malware-finder daje sve od sebe da otkrije prikriveni/sumnjivi kod kao i fajlove koji koriste PHP funkcije često korištene u malverima/web ljuskama.
Apple Binary Signatures
Prilikom provere nekog uzorka malvera uvek treba proveriti potpis binarne datoteke jer razvojni programer koji ju je potpisao može već biti povezan sa malverom.
Tehnike otkrivanja
Stapanje fajlova
Ako znate da je neki folder koji sadrži fajlove veb servera poslednji put ažuriran na određeni datum. Proverite datum kada su fajlovi na veb serveru kreirani i menjani i ako je bilo koji datum sumnjiv, proverite taj fajl.
Osnovne linije
Ako fajlovi u folderu ne bi trebalo da su menjani, možete izračunati heš originalnih fajlova iz foldera i uporediti ih sa trenutnim. Sve što je izmenjeno biće sumnjivo.
Statistička analiza
Kada se informacije čuvaju u logovima, možete proveriti statistiku kao što je koliko puta je svaki fajl veb servera pristupan jer bi web ljuska mogla biti jedna od najčešćih.
Last updated