Malware Analysis
फोरेंसिक्स चीटशीट्स
https://www.jaiminton.com/cheatsheet/DFIR/#
ऑनलाइन सेवाएं
ऑफलाइन एंटीवायरस और पहचान उपकरण
यारा
स्थापित
नियम तैयार करें
इस स्क्रिप्ट का उपयोग करके गिथब से सभी यारा मैलवेयर नियम डाउनलोड और मर्ज करें: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules निर्देशिका बनाएं और इसे निष्पादित करें। इससे malware_rules.yar नामक एक फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे।
स्कैन
YaraGen: मैलवेयर की जाँच करें और नियम बनाएं
आप टूल YaraGen का उपयोग कर सकते हैं ताकि आप एक बाइनरी से यारा नियम उत्पन्न कर सकें। इन ट्यूटोरियल्स की जाँच करें: भाग 1, भाग 2, भाग 3
ClamAV
स्थापित करें
स्कैन
Capa प्रोग्रामों में संभावित दुष्ट क्षमताएँ का पता लगाता है: PE, ELF, .NET। इसलिए यह चीजों को खोजेगा जैसे Att&ck युक्तियाँ, या संदिग्ध क्षमताएँ जैसे:
OutputDebugString त्रुटि की जाँच करें
सेवा के रूप में चलाएं
प्रक्रिया बनाएं
इसे Github रेपो से प्राप्त करें।
IOCs
IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट की शर्तें हैं जो कुछ संभावित अवांछित सॉफ्टवेयर या पुष्ट मैलवेयर की पहचान करती हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने सिस्टम और नेटवर्क्स में इस प्रकार के दुष्ट फ़ाइलें खोजने के लिए करती है। इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान होती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम इसका उपयोग करके मैलवेयर की पहचान तेज़ कर सकती है।
IOC बनाने या संशोधित करने के लिए एक उपकरण है IOC संपादक। आप Redline जैसे उपकरण का उपयोग कर सकते हैं एक उपकरण में परिभाषित IOC खोजने के लिए।
Loki
Loki एक स्कैनर है आसान दुष्टता के संकेतों के लिए। पहचान चार पहचान पद्धतियों पर आधारित है:
लिनक्स मैलवेयर डिटेक्ट
लिनक्स मैलवेयर डिटेक्ट (LMD) एक मैलवेयर स्कैनर है जो गीनू GPLv2 लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरणों में प्रतिकूल सामना करने के लिए डिज़ाइन किया गया है। यह नेटवर्क एज इन्ट्रूजन डिटेक्शन सिस्टम से धमाकों में उपयोग किया जा रहा मैलवेयर को निकालने के लिए धमाकों के खतरों के आसपास डिज़ाइन किया गया है और पहचान के लिए सिग्नेचर उत्पन्न करता है। साथ ही, धमाकों के डेटा को भी LMD चेकआउट सुविधा और मैलवेयर समुदाय संसाधनों से प्राप्त किया जाता है।
rkhunter
rkhunter जैसे उपकरण को फाइल सिस्टम की जाँच के लिए उपयोग किया जा सकता है जिसमें संभावित रूटकिट्स और मैलवेयर की जाँच की जा सकती है।
FLOSS
FLOSS एक टूल है जो विभिन्न तकनीकों का उपयोग करके executables में छिपे हुए strings को खोजने का प्रयास करेगा।
PEpper
PEpper executable में कुछ मौलिक विषयों की जांच करता है (binary data, entropy, URLs और IPs, कुछ yara rules).
PEstudio
PEstudio एक टूल है जो Windows executables की जानकारी प्राप्त करने की अनुमति देता है जैसे imports, exports, headers, लेकिन यह वायरस टोटल की जांच करेगा और potential Att&ck techniques खोजेगा।
Detect It Easy(DiE)
DiE एक टूल है जो फ़ाइल के एन्क्रिप्टेड होने की जांच करने के लिए है और packers भी खोजेगा।
NeoPI
NeoPI एक Python script है जो statistical methods का उपयोग करके text/script files में obfuscated और encrypted content की पहचान करने के लिए है। NeoPI का उद्देश्य hidden web shell code की पहचान में सहायता करना है।
php-malware-finder
PHP-malware-finder अपनी सर्वोत्तम कोशिश करता है कि obfuscated/dodgy code और फ़ाइलों की पहचान करें जो अक्सर malwares/webshells में उपयोग की जाने वाली PHP functions का उपयोग करती हैं।
Apple Binary Signatures
किसी malware sample की जांच करते समय आपको हमेशा बाइनरी के signature की जांच करनी चाहिए क्योंकि उस developer को जिसने इसे साइन किया हो संबंधित हो सकता है malware के साथ।
डिटेक्शन तकनीक
फ़ाइल स्टैकिंग
अगर आपको पता है कि किसी वेब सर्वर के फ़ाइलें की एक फ़ोल्डर कोई तारीख पर अंतिम बार अपडेट की गई थी। जांचें कि वेब सर्वर की सभी फ़ाइलें कब बनाई और संशोधित की गई थीं और यदि कोई तारीख संदिग्ध है, तो उस फ़ाइल की जांच करें।
बेसलाइन्स
अगर किसी फ़ोल्डर की फ़ाइलें संशोधित नहीं होनी चाहिए, तो आप फ़ोल्डर की मौलिक फ़ाइलों का हैश निकाल सकते हैं और उन्हें वर्तमान फ़ाइलों के साथ तुलना कर सकते हैं। कुछ भी संशोधित होने पर संदिग्ध होगा।
सांख्यिकीय विश्लेषण
जब जानकारी लॉग में सहेजी जाती है तो आप जांच सकते हैं कि वेब सर्वर की प्रत्येक फ़ाइल का कितनी बार एक्सेस किया गया था क्योंकि एक वेब शैल में एक वेब शैल सबसे अधिक हो सकता है।
Last updated