Malware Analysis
Adli Bilişim Hile Sayfaları
https://www.jaiminton.com/cheatsheet/DFIR/#
Çevrimiçi Hizmetler
Çevrimdışı Antivirüs ve Algılama Araçları
Yara
Kurulum
Kuralları hazırlayın
Bu betiği kullanarak github'dan tüm yara kötü amaçlı yazılım kurallarını indirin ve birleştirin: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules adında bir dizin oluşturun ve betiği çalıştırın. Bu, kötü amaçlı yazılımlar için tüm yara kurallarını içeren malware_rules.yar adlı bir dosya oluşturacaktır.
Tarama
YaraGen: Zararlı yazılım kontrolü ve kurallar oluşturma
YaraGen adlı aracı kullanarak bir ikiliden yara kuralları oluşturabilirsiniz. Bu eğitimlere göz atın: Bölüm 1, Bölüm 2, Bölüm 3
ClamAV
Kurulum
Tarama
Capa, yürütülebilir dosyalardaki potansiyel kötü niyetli yetenekleri tespit eder: PE, ELF, .NET. Bu nedenle Att&ck taktikleri gibi şeyleri veya şüpheli yetenekleri bulacaktır:
OutputDebugString hatasını kontrol et
bir hizmet olarak çalıştır
işlem oluştur
Github deposundan edinin.
IOC'ler
IOC, Tehdit Belirtici anlamına gelir. Bir IOC, bazı potansiyel istenmeyen yazılımları veya onaylanmış zararlı yazılımları tanımlayan koşullar kümesidir. Mavi Takımlar, bu tür kötü niyetli dosyaları sistemlerinde ve ağlarında aramak için bu tür tanımlamaları kullanır. Bu tanımlamaları paylaşmak, bir bilgisayarda zararlı yazılım tanımlandığında ve o zararlı yazılım için bir IOC oluşturulduğunda, diğer Mavi Takımların zararlı yazılımı daha hızlı tanımlamasına yardımcı olur.
IOC'ler oluşturmak veya değiştirmek için bir araç IOC Düzenleyici'dır. Redline gibi araçları kullanarak bir cihazda tanımlanmış IOC'leri aramak mümkündür.
Loki
Loki, Basit Tehdit Belirteçleri için bir tarayıcıdır. Tespit, dört tespit yöntemine dayanmaktadır:
Linux Zararlı Yazılım Tespiti
Linux Zararlı Yazılım Tespit (LMD), GNU GPLv2 lisansı altında yayınlanan, paylaşımlı barındırma ortamlarında karşılaşılan tehditlere odaklanılarak tasarlanmış bir Linux zararlı yazılım tarayıcısıdır. Ağ kenarı sızma tespit sistemlerinden tehdit verileri kullanarak saldırılarda aktif olarak kullanılan zararlı yazılımları çıkartır ve tespit için imzalar oluşturur. Ayrıca, tehdit verileri, LMD ödeme özelliği ve zararlı yazılım topluluk kaynakları ile de elde edilebilir.
rkhunter
rkhunter gibi araçlar, dosya sisteminde olası rootkit ve zararlı yazılımları kontrol etmek için kullanılabilir.
FLOSS
FLOSS farklı teknikler kullanarak yürütülebilir dosyalar içinde şifrelenmiş dizeleri bulmaya çalışacak bir araçtır.
PEpper
PEpper yürütülebilir dosyanın içinde bazı temel bilgileri kontrol eder (ikili veri, entropi, URL'ler ve IP'ler, bazı yara kuralları).
PEstudio
PEstudio Windows yürütülebilir dosyalar hakkında bilgi almayı sağlayan bir araçtır; içeri aktarımlar, dışarı aktarımlar, başlıklar gibi, ayrıca virüs toplamını kontrol eder ve potansiyel Att&ck tekniklerini bulur.
Detect It Easy(DiE)
DiE bir dosyanın şifreli olup olmadığını tespit etmek ve paketleyicileri bulmak için bir araçtır.
NeoPI
NeoPI metin/skript dosyaları içindeki şifrelenmiş ve şifrelenmiş içeriği tespit etmek için çeşitli istatistiksel yöntemler kullanan bir Python betiğidir. NeoPI'nin amaçlanan amacı, gizli web kabuk kodunun tespitine yardımcı olmaktır.
php-malware-finder
PHP-malware-finder şifrelenmiş/şüpheli kodu tespit etmek için elinden geleni yapar ve genellikle kötü amaçlı yazılımlarda/web kabuklarında kullanılan PHP işlevlerini kullanan dosyaları tespit eder.
Apple Binary Signatures
Bazı kötü amaçlı yazılım örneğini kontrol ederken, binary'nin imzasını kontrol etmek her zaman önemlidir çünkü imzayı atan geliştirici muhtemelen zaten kötü amaçlı yazılımla ilişkilidir.
Algılama Teknikleri
Dosya Yığılması
Eğer bir web sunucusunun dosyalarını içeren bir klasörün en son ne zaman güncellendiğini biliyorsanız. Kontrol edin ve web sunucusundaki tüm dosyaların oluşturulma ve değiştirilme tarihlerini ve herhangi bir tarih şüpheli ise o dosyayı kontrol edin.
Temel Çizgiler
Bir klasörün dosyalarının değiştirilmemesi gerektiğini biliyorsanız, klasörün orijinal dosyalarının hash'ini hesaplayabilir ve mevcut olanlarla karşılaştırabilirsiniz. Herhangi bir değişiklik şüpheli olacaktır.
İstatistiksel Analiz
Bilgiler loglarda kaydedildiğinde, her bir web sunucusu dosyasının kaç kez erişildiği gibi istatistikleri kontrol edebilirsiniz, çünkü bir web kabuğu en çok olanlardan biri olabilir.
Last updated