Malware Analysis

फोरेंसिक्स चीटशीट्स

https://www.jaiminton.com/cheatsheet/DFIR/#

ऑनलाइन सेवाएं

• VirusTotal

• HybridAnalysis

• Koodous

• Intezer

• Any.Run

ऑफलाइन एंटीवायरस और पहचान उपकरण

यारा

स्थापित

sudo apt-get install -y yara

नियम तैयार करें

इस स्क्रिप्ट का उपयोग करके गिथब से सभी यारा मैलवेयर नियम डाउनलोड और मर्ज करें: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules निर्देशिका बनाएं और इसे निष्पादित करें। इससे malware_rules.yar नामक एक फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे।

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

स्कैन

yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: मैलवेयर की जाँच करें और नियम बनाएं

आप टूल YaraGen का उपयोग कर सकते हैं ताकि आप एक बाइनरी से यारा नियम उत्पन्न कर सकें। इन ट्यूटोरियल्स की जाँच करें: भाग 1, भाग 2, भाग 3

python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

स्थापित करें

sudo apt-get install -y clamav

स्कैन

sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa प्रोग्रामों में संभावित दुष्ट क्षमताएँ का पता लगाता है: PE, ELF, .NET। इसलिए यह चीजों को खोजेगा जैसे Att&ck युक्तियाँ, या संदिग्ध क्षमताएँ जैसे:

• OutputDebugString त्रुटि की जाँच करें

• सेवा के रूप में चलाएं

• प्रक्रिया बनाएं

इसे Github रेपो से प्राप्त करें।

IOCs

IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट की शर्तें हैं जो कुछ संभावित अवांछित सॉफ्टवेयर या पुष्ट मैलवेयर की पहचान करती हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने सिस्टम और नेटवर्क्स में इस प्रकार के दुष्ट फ़ाइलें खोजने के लिए करती है। इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान होती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम इसका उपयोग करके मैलवेयर की पहचान तेज़ कर सकती है।

IOC बनाने या संशोधित करने के लिए एक उपकरण है IOC संपादक। आप Redline जैसे उपकरण का उपयोग कर सकते हैं एक उपकरण में परिभाषित IOC खोजने के लिए।

Loki

Loki एक स्कैनर है आसान दुष्टता के संकेतों के लिए। पहचान चार पहचान पद्धतियों पर आधारित है:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

लिनक्स मैलवेयर डिटेक्ट

लिनक्स मैलवेयर डिटेक्ट (LMD) एक मैलवेयर स्कैनर है जो गीनू GPLv2 लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरणों में प्रतिकूल सामना करने के लिए डिज़ाइन किया गया है। यह नेटवर्क एज इन्ट्रूजन डिटेक्शन सिस्टम से धमाकों में उपयोग किया जा रहा मैलवेयर को निकालने के लिए धमाकों के खतरों के आसपास डिज़ाइन किया गया है और पहचान के लिए सिग्नेचर उत्पन्न करता है। साथ ही, धमाकों के डेटा को भी LMD चेकआउट सुविधा और मैलवेयर समुदाय संसाधनों से प्राप्त किया जाता है।

rkhunter

rkhunter जैसे उपकरण को फाइल सिस्टम की जाँच के लिए उपयोग किया जा सकता है जिसमें संभावित रूटकिट्स और मैलवेयर की जाँच की जा सकती है।

sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS एक टूल है जो विभिन्न तकनीकों का उपयोग करके executables में छिपे हुए strings को खोजने का प्रयास करेगा।

PEpper

PEpper executable में कुछ मौलिक विषयों की जांच करता है (binary data, entropy, URLs और IPs, कुछ yara rules).

PEstudio

PEstudio एक टूल है जो Windows executables की जानकारी प्राप्त करने की अनुमति देता है जैसे imports, exports, headers, लेकिन यह वायरस टोटल की जांच करेगा और potential Att&ck techniques खोजेगा।

Detect It Easy(DiE)

DiE एक टूल है जो फ़ाइल के एन्क्रिप्टेड होने की जांच करने के लिए है और packers भी खोजेगा।

NeoPI

NeoPI एक Python script है जो statistical methods का उपयोग करके text/script files में obfuscated और encrypted content की पहचान करने के लिए है। NeoPI का उद्देश्य hidden web shell code की पहचान में सहायता करना है।

php-malware-finder

PHP-malware-finder अपनी सर्वोत्तम कोशिश करता है कि obfuscated/dodgy code और फ़ाइलों की पहचान करें जो अक्सर malwares/webshells में उपयोग की जाने वाली PHP functions का उपयोग करती हैं।

Apple Binary Signatures

किसी malware sample की जांच करते समय आपको हमेशा बाइनरी के signature की जांच करनी चाहिए क्योंकि उस developer को जिसने इसे साइन किया हो संबंधित हो सकता है malware के साथ।

#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

डिटेक्शन तकनीक

फ़ाइल स्टैकिंग

अगर आपको पता है कि किसी वेब सर्वर के फ़ाइलें की एक फ़ोल्डर कोई तारीख पर अंतिम बार अपडेट की गई थी। जांचें कि वेब सर्वर की सभी फ़ाइलें कब बनाई और संशोधित की गई थीं और यदि कोई तारीख संदिग्ध है, तो उस फ़ाइल की जांच करें।

बेसलाइन्स

अगर किसी फ़ोल्डर की फ़ाइलें संशोधित नहीं होनी चाहिए, तो आप फ़ोल्डर की मौलिक फ़ाइलों का हैश निकाल सकते हैं और उन्हें वर्तमान फ़ाइलों के साथ तुलना कर सकते हैं। कुछ भी संशोधित होने पर संदिग्ध होगा।

सांख्यिकीय विश्लेषण

जब जानकारी लॉग में सहेजी जाती है तो आप जांच सकते हैं कि वेब सर्वर की प्रत्येक फ़ाइल का कितनी बार एक्सेस किया गया था क्योंकि एक वेब शैल में एक वेब शैल सबसे अधिक हो सकता है।