Malware Analysis
Forenzički CheatSheets
https://www.jaiminton.com/cheatsheet/DFIR/#
Online Servisi
Offline Antivirus i Alati za Detekciju
Yara
Instalacija
Priprema pravila
Koristite ovaj skript za preuzimanje i spajanje svih yara pravila za zlonamerni softver sa github-a: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Napravite direktorijum rules i izvršite ga. Ovo će kreirati fajl nazvan malware_rules.yar koji sadrži sva yara pravila za zlonamerni softver.
Skeniranje
YaraGen: Provera malvera i kreiranje pravila
Možete koristiti alatku YaraGen za generisanje yara pravila iz binarnog fajla. Pogledajte ove tutorijale: Deo 1, Deo 2, Deo 3
ClamAV
Instalacija
Skeniranje
Capa otkriva potencijalno zlonamerne sposobnosti u izvršnim datotekama: PE, ELF, .NET. Tako će pronaći stvari poput Att&ck taktika, ili sumnjivih sposobnosti kao što su:
provera greške OutputDebugString
pokretanje kao servis
kreiranje procesa
Preuzmite ga sa Github repozitorijuma.
IOCs
IOC znači Indikator kompromitovanja. IOC je skup uslova koji identifikuju neki potencijalno neželjeni softver ili potvrđeni malver. Plave ekipe koriste ovu vrstu definicije da traže ovu vrstu zlonamernih datoteka u svojim sistemima i mrežama. Deljenje ovih definicija je veoma korisno jer kada se malver identifikuje na računaru i IOC za taj malver se kreira, druge Plave ekipe ga mogu koristiti da identifikuju malver brže.
Alat za kreiranje ili modifikaciju IOCs je IOC Editor. Možete koristiti alate poput Redline da tražite definisane IOCs na uređaju.
Loki
Loki je skener za Jednostavne Indikatore kompromitovanja. Detekcija se zasniva na četiri metode detekcije:
Linux Malware Detect
Linux Malware Detect (LMD) je skener malvera za Linux koji je objavljen pod GNU GPLv2 licencom, a dizajniran je oko pretnji sa kojima se susreću u deljenim hosting okruženjima. Koristi podatke o pretnjama iz sistema za detekciju upada na mrežnom rubu kako bi izdvojio malver koji se aktivno koristi u napadima i generiše potpise za detekciju. Pored toga, podaci o pretnjama takođe potiču iz korisničkih podnesaka sa funkcijom provere LMD i resursima zajednice za malvere.
rkhunter
Alati poput rkhunter mogu se koristiti za proveru datotečnog sistema na moguće rootkitove i malvere.
FLOSS
FLOSS je alatka koja će pokušati da pronađe prikrivene stringove unutar izvršnih datoteka koristeći različite tehnike.
PEpper
PEpper proverava neke osnovne stvari unutar izvršne datoteke (binarni podaci, entropija, URL-ovi i IP adrese, neka yara pravila).
PEstudio
PEstudio je alatka koja omogućava dobijanje informacija o Windows izvršnim datotekama kao što su uvozi, izvozi, zaglavlja, ali takođe će proveriti VirusTotal i pronaći potencijalne Att&ck tehnike.
Detect It Easy(DiE)
DiE je alatka za otkrivanje da li je datoteka šifrovana i takođe pronalazi pakere.
NeoPI
NeoPI je Python skripta koja koristi različite statističke metode za otkrivanje prikrivenog i šifrovanog sadržaja unutar tekstualnih/skript datoteka. Namera NeoPI-ja je da pomogne u otkrivanju skrivenog web shell koda.
php-malware-finder
PHP-malware-finder daje sve od sebe da otkrije prikriveni/sumnjivi kod kao i datoteke koje koriste PHP funkcije često korištene u malverima/web shell-ovima.
Apple Binary Signatures
Prilikom provere nekog uzorka malvera uvek treba proveriti potpis binarne datoteke jer razvijalac koji ju je potpisao može već biti povezan sa malverom.
Tehnike otkrivanja
Stvaranje datoteka
Ako znate da je neki folder koji sadrži datoteke veb servera poslednji put ažuriran na određeni datum. Proverite datum kada su sve datoteke na veb serveru kreirane i izmenjene i ako je bilo koji datum sumnjiv, proverite tu datoteku.
Osnovne vrednosti
Ako datoteke foldera ne bi trebalo da budu izmenjene, možete izračunati heš originalnih datoteka foldera i uporediti ih sa trenutnim. Sve što je izmenjeno biće sumnjivo.
Statistička analiza
Kada se informacije čuvaju u logovima, možete proveriti statistiku kao koliko puta je svaka datoteka veb servera pristupana jer bi web šel mogao biti jedan od najčešćih.
Last updated