Malware Analysis

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Forenzički CheatSheets

https://www.jaiminton.com/cheatsheet/DFIR/#

Online Servisi

Offline Antivirus i Alati za Detekciju

Yara

Instalacija

sudo apt-get install -y yara

Priprema pravila

Koristite ovaj skript za preuzimanje i spajanje svih yara pravila za zlonamerni softver sa github-a: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Napravite direktorijum rules i izvršite ga. Ovo će kreirati fajl nazvan malware_rules.yar koji sadrži sva yara pravila za zlonamerni softver.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

Skeniranje

yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: Provera malvera i kreiranje pravila

Možete koristiti alatku YaraGen za generisanje yara pravila iz binarnog fajla. Pogledajte ove tutorijale: Deo 1, Deo 2, Deo 3

python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

Instalacija

sudo apt-get install -y clamav

Skeniranje

sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa otkriva potencijalno zlonamerne sposobnosti u izvršnim datotekama: PE, ELF, .NET. Tako će pronaći stvari poput Att&ck taktika, ili sumnjivih sposobnosti kao što su:

provera greške OutputDebugString
pokretanje kao servis
kreiranje procesa

Preuzmite ga sa Github repozitorijuma.

IOCs

IOC znači Indikator kompromitovanja. IOC je skup uslova koji identifikuju neki potencijalno neželjeni softver ili potvrđeni malver. Plave ekipe koriste ovu vrstu definicije da traže ovu vrstu zlonamernih datoteka u svojim sistemima i mrežama. Deljenje ovih definicija je veoma korisno jer kada se malver identifikuje na računaru i IOC za taj malver se kreira, druge Plave ekipe ga mogu koristiti da identifikuju malver brže.

Alat za kreiranje ili modifikaciju IOCs je IOC Editor. Možete koristiti alate poput Redline da tražite definisane IOCs na uređaju.

Loki

Loki je skener za Jednostavne Indikatore kompromitovanja. Detekcija se zasniva na četiri metode detekcije:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

Linux Malware Detect

Linux Malware Detect (LMD) je skener malvera za Linux koji je objavljen pod GNU GPLv2 licencom, a dizajniran je oko pretnji sa kojima se susreću u deljenim hosting okruženjima. Koristi podatke o pretnjama iz sistema za detekciju upada na mrežnom rubu kako bi izdvojio malver koji se aktivno koristi u napadima i generiše potpise za detekciju. Pored toga, podaci o pretnjama takođe potiču iz korisničkih podnesaka sa funkcijom provere LMD i resursima zajednice za malvere.

rkhunter

Alati poput rkhunter mogu se koristiti za proveru datotečnog sistema na moguće rootkitove i malvere.

sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS je alatka koja će pokušati da pronađe prikrivene stringove unutar izvršnih datoteka koristeći različite tehnike.

PEpper

PEpper proverava neke osnovne stvari unutar izvršne datoteke (binarni podaci, entropija, URL-ovi i IP adrese, neka yara pravila).

PEstudio

PEstudio je alatka koja omogućava dobijanje informacija o Windows izvršnim datotekama kao što su uvozi, izvozi, zaglavlja, ali takođe će proveriti VirusTotal i pronaći potencijalne Att&ck tehnike.

Detect It Easy(DiE)

DiE je alatka za otkrivanje da li je datoteka šifrovana i takođe pronalazi pakere.

NeoPI

NeoPI je Python skripta koja koristi različite statističke metode za otkrivanje prikrivenog i šifrovanog sadržaja unutar tekstualnih/skript datoteka. Namera NeoPI-ja je da pomogne u otkrivanju skrivenog web shell koda.

php-malware-finder

PHP-malware-finder daje sve od sebe da otkrije prikriveni/sumnjivi kod kao i datoteke koje koriste PHP funkcije često korištene u malverima/web shell-ovima.

Apple Binary Signatures

Prilikom provere nekog uzorka malvera uvek treba proveriti potpis binarne datoteke jer razvijalac koji ju je potpisao može već biti povezan sa malverom.

#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

Tehnike otkrivanja

Stvaranje datoteka

Ako znate da je neki folder koji sadrži datoteke veb servera poslednji put ažuriran na određeni datum. Proverite datum kada su sve datoteke na veb serveru kreirane i izmenjene i ako je bilo koji datum sumnjiv, proverite tu datoteku.

Osnovne vrednosti

Ako datoteke foldera ne bi trebalo da budu izmenjene, možete izračunati heš originalnih datoteka foldera i uporediti ih sa trenutnim. Sve što je izmenjeno biće sumnjivo.

Statistička analiza

Kada se informacije čuvaju u logovima, možete proveriti statistiku kao koliko puta je svaka datoteka veb servera pristupana jer bi web šel mogao biti jedan od najčešćih.

PreviousLinux Forensics NextMemory dump analysis

Last updated 1 month ago