Malware Analysis
फोरेंसिक्स चीटशीट्स
https://www.jaiminton.com/cheatsheet/DFIR/#
ऑनलाइन सेवाएं
ऑफलाइन एंटीवायरस और पहचान उपकरण
Yara
स्थापित
नियम तैयार करें
इस स्क्रिप्ट का उपयोग करके गिथब से सभी यारा मैलवेयर नियम डाउनलोड और मर्ज करें: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules निर्देशिका बनाएं और इसे निष्पादित करें। इससे malware_rules.yar नाम की फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे।
स्कैन
YaraGen: मैलवेयर की जांच करें और नियम बनाएं
आप टूल YaraGen का उपयोग करके एक बाइनरी से यारा नियम उत्पन्न कर सकते हैं। इन ट्यूटोरियल्स की जाँच करें: भाग 1, भाग 2, भाग 3
ClamAV
स्थापित करें
स्कैन
कैपा executables में पोटेंशियली हानिकारक क्षमताएँ का पता लगाता है: PE, ELF, .NET। इसलिए यह चीजों को खोजेगा जैसे Att&ck तकनीकें, या संदिग्ध क्षमताएँ जैसे:
OutputDebugString त्रुटि की जांच करें
सेवा के रूप में चलाएं
प्रक्रिया बनाएं
इसे Github रेपो से प्राप्त करें।
IOCs
IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट की शर्तें हैं जो कुछ पोटेंशियली अवांछित सॉफ्टवेयर या पुष्ट मैलवेयर की पहचान करती हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने सिस्टम और नेटवर्क में इस प्रकार के हानिकारक फ़ाइलों की खोज के लिए करती है। इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान होती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम इसका उपयोग करके मैलवेयर की पहचान तेजी से कर सकती है।
IOC बनाने या संशोधित करने के लिए एक उपकरण है IOC संपादक। आप उपकरणों का उपयोग कर सकते हैं जैसे Redline डिवाइस में परिभाषित IOC की खोज करने के लिए।
लोकी
लोकी एक स्कैनर है आसान इंडिकेटर्स ऑफ कंप्रोमाइज के लिए। पहचान चार पहचान पद्धतियों पर आधारित है:
लिनक्स मैलवेयर डिटेक्ट
लिनक्स मैलवेयर डिटेक्ट (LMD) एक मैलवेयर स्कैनर है जो गनू जीवीपीएल लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरणों में प्रतिकूलताओं के आसपास डिज़ाइन किया गया है। यह नेटवर्क किनारे घुसपैठ डिटेक्शन सिस्टम से धमाकों में उपयोग किया जा रहा मैलवेयर निकालने के लिए धमाकों से निकाला गया मैलवेयर का डेटा उपयोग करता है और पहचान के लिए सिग्नेचर उत्पन्न करता है। साथ ही, धमाकों से डेटा भी LMD चेकआउट सुविधा और मैलवेयर समुदाय संसाधनों से प्राप्त किया जाता है।
आरकेहंटर
रेखंटर जैसे उपकरण फाइल सिस्टम की जाँच के लिए उपयोग किया जा सकता है जहाँ संभावित रूटकिट्स और मैलवेयर की जाँच की जा सकती है।
FLOSS
FLOSS एक टूल है जो विभिन्न तकनीकों का उपयोग करके executables में छिपे हुए strings को खोजने का प्रयास करेगा।
PEpper
PEpper executable में कुछ मौलिक विषयों की जांच करता है (बाइनरी डेटा, एंट्रोपी, URLs और IPs, कुछ yara नियम।)
PEstudio
PEstudio एक टूल है जो Windows executables की जानकारी प्राप्त करने की अनुमति देता है जैसे imports, exports, headers, लेकिन यह वायरस टोटल की जांच करेगा और पोटेंशियल Att&ck तकनीकों को भी खोजेगा।
Detect It Easy(DiE)
DiE एक टूल है जो फ़ाइल को एन्क्रिप्टेड है या नहीं यह खोजने के लिए है और पैकर्स को भी खोजेगा।
NeoPI
NeoPI एक Python स्क्रिप्ट है जो सांख्यिकीय विधियों का उपयोग करके छिपे हुए और एन्क्रिप्टेड सामग्री की खोज करने के लिए है। NeoPI का उद्देश्य छिपी वेब शैल कोड की खोज में सहायता करना है।
php-malware-finder
PHP-malware-finder अपनी सर्वोत्तम प्रयास करता है कि छिपे हुए/अविश्वसनीय कोड को खोजें जैसे कि फ़ाइलें जो मैलवेयर/वेबशैल में अक्सर उपयोग की जाने वाली PHP फ़ंक्शन्स का उपयोग कर रही हों।
Apple Binary Signatures
किसी मैलवेयर नमूने की जांच करते समय आपको हमेशा बाइनरी के सिग्नेचर की जांच करनी चाहिए क्योंकि उस डेवलपर को जिसने इसे साइन किया हो, पहले से ही मैलवेयर से संबंधित हो सकता है।
पहचान तकनीकें
फ़ाइल स्टैकिंग
अगर आपको पता है कि किसी वेब सर्वर के फ़ाइलें की एक फ़ोल्डर कोई निश्चित तारीख को अपडेट किया गया था। जांचें कि वेब सर्वर की सभी फ़ाइलें कब बनाई और संशोधित की गई थीं और यदि कोई तारीख संदिग्ध है, तो उस फ़ाइल की जांच करें।
बेसलाइन्स
अगर किसी फ़ोल्डर की फ़ाइलें संशोधित नहीं होनी चाहिए, तो आप फ़ोल्डर की मौलिक फ़ाइलों का हैश निकाल सकते हैं और उन्हें वर्तमान वालों के साथ तुलना कर सकते हैं। कुछ भी संशोधित होने पर संदिग्ध होगा।
सांख्यिकीय विश्लेषण
जब जानकारी लॉग में सहेजी जाती है तो आप जांच सकते हैं कि वेब सर्वर की प्रत्येक फ़ाइल का कितनी बार एक्सेस किया गया था क्योंकि एक वेब शैल में एक शामिल हो सकता है।
Last updated