Malware Analysis

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Karatasi za Udanganyifu za Forensics

https://www.jaiminton.com/cheatsheet/DFIR/#

Huduma za Mtandaoni

Zana za Antivirus na Ugunduzi za Offline

Yara

Sakinisha

sudo apt-get install -y yara

Andaa sheria

Tumia skripti hii kupakua na kuunganisha sheria zote za yara malware kutoka github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Unda saraka ya rules na uitekeleze. Hii itaunda faili inayoitwa malware_rules.yar ambayo ina sheria zote za yara za malware.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

Skana

yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: Angalia kwa malware na Unda sheria

You can use the tool YaraGen to generate yara rules from a binary. Check out these tutorials: Part 1, Part 2, Part 3

python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

Sakinisha

sudo apt-get install -y clamav

Skana

sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa inagundua uwezo ambao unaweza kuwa na madhara katika executable: PE, ELF, .NET. Hivyo itapata mambo kama mbinu za Att&ck, au uwezo wa kutatanisha kama:

angalia kwa makosa ya OutputDebugString
endesha kama huduma
tengeneza mchakato

Pata katika Github repo.

IOCs

IOC inamaanisha Kielelezo cha Kuathiriwa. IOC ni seti ya masharti ambayo yanaonyesha baadhi ya programu zisizohitajika au malware iliyothibitishwa. Timu za Blue hutumia aina hii ya ufafanuzi ili kutafuta aina hii ya faili zenye madhara katika mifumo yao na mitandao. Kushiriki ufafanuzi huu ni muhimu sana kwani wakati malware inatambuliwa katika kompyuta na IOC kwa malware hiyo inaundwa, timu nyingine za Blue zinaweza kuitumia kuitambua malware haraka zaidi.

Zana ya kuunda au kubadilisha IOCs ni IOC Editor. Unaweza kutumia zana kama Redline ili kutafuta IOCs zilizofafanuliwa katika kifaa.

Loki

Loki ni skana kwa Viashiria Rahisi vya Kuathiriwa. Ugunduzi unategemea mbinu nne za ugunduzi:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

Linux Malware Detect

Linux Malware Detect (LMD) ni skana ya malware kwa Linux iliyotolewa chini ya leseni ya GNU GPLv2, ambayo imeundwa kuzingatia vitisho vinavyokabiliwa katika mazingira ya mwenyeji wa pamoja. Inatumia data za vitisho kutoka kwa mifumo ya kugundua uvamizi kwenye ukingo wa mtandao ili kutoa malware inayotumika kwa shambulio na kuunda saini za kugundua. Zaidi ya hayo, data za vitisho pia zinatokana na michango ya watumiaji kupitia kipengele cha LMD checkout na rasilimali za jamii ya malware.

rkhunter

Zana kama rkhunter zinaweza kutumika kuangalia mfumo wa faili kwa rootkits na malware zinazoweza kuwepo.

sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS ni chombo ambacho kitajaribu kupata nyuzi zilizofichwa ndani ya executable kwa kutumia mbinu tofauti.

PEpper

PEpper inakagua mambo ya msingi ndani ya executable (data ya binary, entropy, URLs na IPs, baadhi ya sheria za yara).

PEstudio

PEstudio ni chombo kinachoruhusu kupata taarifa za Windows executables kama vile imports, exports, headers, lakini pia kitakagua virus total na kupata mbinu za Att&ck zinazoweza kutokea.

Detect It Easy(DiE)

DiE ni chombo cha kugundua kama faili ime encrypted na pia kupata packers.

NeoPI

NeoPI ni script ya Python inayotumia mbinu mbalimbali za statistical methods kugundua maudhui yaliyofichwa na encrypted ndani ya faili za maandiko/script. Lengo la NeoPI ni kusaidia katika detection of hidden web shell code.

php-malware-finder

PHP-malware-finder inajitahidi sana kugundua obfuscated/dodgy code pamoja na faili zinazotumia PHP functions ambazo mara nyingi hutumiwa katika malwares/webshells.

Apple Binary Signatures

Unapokagua baadhi ya malware sample unapaswa kila wakati check the signature ya binary kwani developer aliyeisaini anaweza kuwa tayari related na malware.

#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

Detection Techniques

File Stacking

Ikiwa unajua kwamba folda fulani inayoshikilia files za seva ya wavuti ilikua imepitiwa mara ya mwisho kwenye tarehe fulani. Angalia tarehe zote za files katika seva ya wavuti zilizoumbwa na kubadilishwa na ikiwa tarehe yoyote ni siyo ya kawaida, angalia hiyo file.

Baselines

Ikiwa files za folda hazikupaswa kubadilishwa, unaweza kuhesabu hash ya files za awali za folda na kulinganisha nazo na zile za sasa. Kila kitu kilichobadilishwa kitakuwa siyo ya kawaida.

Statistical Analysis

Wakati taarifa zimehifadhiwa katika logi unaweza kuangalia takwimu kama vile ni mara ngapi kila file ya seva ya wavuti ilifikiriwa kama shell ya wavuti inaweza kuwa moja ya nyingi.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousLinux Forensics NextMemory dump analysis

Last updated 4 days ago