Malware Analysis

Forenzički CheatSheets

https://www.jaiminton.com/cheatsheet/DFIR/#

Online Servisi

• VirusTotal

• HybridAnalysis

• Koodous

• Intezer

• Any.Run

Offline Antivirus i Alati za Detekciju

Yara

Instalacija

sudo apt-get install -y yara

Priprema pravila

Koristite ovaj skript za preuzimanje i spajanje svih yara pravila za zlonamjerni softver sa github-a: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Kreirajte direktorijum rules i izvršite ga. Ovo će kreirati datoteku nazvanu malware_rules.yar koja koja sadrži sva yara pravila za zlonamjerni softver.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

Skeniranje

yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: Provera malvera i kreiranje pravila

Možete koristiti alatku YaraGen za generisanje yara pravila iz binarnog fajla. Pogledajte ove tutorijale: Deo 1, Deo 2, Deo 3

python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

Instalacija

sudo apt-get install -y clamav

Skeniranje

sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa otkriva potencijalno zlonamerne sposobnosti u izvršnim datotekama: PE, ELF, .NET. Tako će pronaći stvari poput Att&ck taktika ili sumnjivih sposobnosti kao što su:

• provera greške OutputDebugString

• pokretanje kao servis

• kreiranje procesa

Preuzmite ga sa Github repozitorijuma.

IOCs

IOC znači Indikator kompromitovanja. IOC je skup uslova koji identifikuju potencijalno neželjen softver ili potvrđeni malver. Plave ekipe koriste ovu vrstu definicije da traže ovu vrstu zlonamernih datoteka na svojim sistemima i mrežama. Deljenje ovih definicija je veoma korisno jer kada se malver identifikuje na računaru i IOC za taj malver bude kreiran, druge Plave ekipe ga mogu koristiti da identifikuju malver brže.

Alat za kreiranje ili modifikaciju IOCa je IOC Editor. Možete koristiti alate poput Redline da tražite definisane IOCe na uređaju.

Loki

Loki je skener za Jednostavne Indikatore kompromitovanja. Detekcija se zasniva na četiri metode detekcije:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

Linux Malware Detect

Linux Malware Detect (LMD) je skener malvera za Linux koji je objavljen pod GNU GPLv2 licencom, a dizajniran je oko pretnji sa kojima se susreću u deljenim hosting okruženjima. Koristi podatke o pretnjama iz sistema za otkrivanje upada na mrežnom rubu kako bi izdvojio malver koji se aktivno koristi u napadima i generiše potpise za detekciju. Pored toga, podaci o pretnjama takođe potiču iz korisničkih podnesaka sa funkcijom provere LMD i resursima zajednice malvera.

rkhunter

Alati poput rkhunter mogu se koristiti za proveru datotečnog sistema radi mogućih rootkitova i malvera.

sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS je alatka koja će pokušati da pronađe prikrivene stringove unutar izvršnih datoteka koristeći različite tehnike.

PEpper

PEpper proverava neke osnovne stvari unutar izvršne datoteke (binarni podaci, entropija, URL-ovi i IP adrese, neka yara pravila).

PEstudio

PEstudio je alatka koja omogućava dobijanje informacija o Windows izvršnim datotekama kao što su uvozi, izvozi, zaglavlja, ali takođe će proveriti VirusTotal i pronaći potencijalne Att&ck tehnike.

Detect It Easy(DiE)

DiE je alatka za otkrivanje da li je datoteka šifrovana i takođe pronalazi pakere.

NeoPI

NeoPI je Python skripta koja koristi različite statističke metode za otkrivanje prikrivenog i šifrovanog sadržaja unutar tekstualnih/skript fajlova. Namera NeoPI-ja je da pomogne u otkrivanju skrivenog koda web ljuski.

php-malware-finder

PHP-malware-finder daje sve od sebe da otkrije prikriveni/sumnjivi kod kao i fajlove koji koriste PHP funkcije često korištene u malverima/web ljuskama.

Apple Binary Signatures

Prilikom provere nekog uzorka malvera uvek treba proveriti potpis binarne datoteke jer razvojni programer koji ju je potpisao može već biti povezan sa malverom.

#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

Tehnike otkrivanja

Stapanje fajlova

Ako znate da je neki folder koji sadrži fajlove veb servera poslednji put ažuriran na određeni datum. Proverite datum kada su fajlovi na veb serveru kreirani i menjani i ako je bilo koji datum sumnjiv, proverite taj fajl.

Osnovne linije

Ako fajlovi u folderu ne bi trebalo da su menjani, možete izračunati heš originalnih fajlova iz foldera i uporediti ih sa trenutnim. Sve što je izmenjeno biće sumnjivo.

Statistička analiza

Kada se informacije čuvaju u logovima, možete proveriti statistiku kao što je koliko puta je svaki fajl veb servera pristupan jer bi web ljuska mogla biti jedna od najčešćih.