Malware Analysis
Vipeperushi vya Uchunguzi wa Kijuujuu
https://www.jaiminton.com/cheatsheet/DFIR/#
Huduma za Mtandaoni
Zana za Kugundua na Kupambana na Programu za Kupambana na Virus Bila Mtandao
Yara
Sakinisha
Jipange sheria
Tumia script hii kupakua na kuchanganya sheria zote za yara za zisizo kutoka github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Unda directory ya sheria na uitekeleze. Hii itaunda faili inayoitwa malware_rules.yar ambayo ina sheria zote za yara kwa ajili ya zisizo.
Kuchunguza
YaraGen: Angalia kwa zisambulishi na Unda sheria
Unaweza kutumia zana YaraGen kuzalisha sheria za yara kutoka kwa faili ya binary. Angalia mafunzo haya: Sehemu 1, Sehemu 2, Sehemu 3
ClamAV
Sakinisha
Skan
Capa inagundua uwezo wenye uwezekano wa kuwa mbaya katika faili za kutekelezwa: PE, ELF, .NET. Kwa hivyo itapata vitu kama mbinu za Att&ck, au uwezo wa shaka kama vile:
angalia kosa la OutputDebugString
tekeleza kama huduma
umba mchakato
Pakua kutoka kwenye repo ya Github.
IOCs
IOC inamaanisha Kiashiria cha Kuingiliwa. IOC ni seti ya mazingira yanayotambua programu fulani inayoweza kutokuwa ya kutaka au malware iliyothibitishwa. Timu za Bluu hutumia aina hii ya ufafanuzi kutafuta faili za aina hii ya uovu kwenye mifumo yao na mitandao yao. Kushiriki ufafanuzi huu ni muhimu sana kwani wakati malware inagunduliwa kwenye kompyuta na IOC kwa malware hiyo inaundwa, Timu za Bluu zingine zinaweza kutumia hiyo kuitambua malware haraka.
Zana ya kuunda au kuhariri IOCs ni Mhariri wa IOC. Unaweza kutumia zana kama Redline kutafuta IOCs zilizofafanuliwa kwenye kifaa.
Loki
Loki ni skana ya Viashiria Rahisi vya Kuingiliwa. Ugunduzi unategemea njia nne za ugunduzi:
Uchunguzi wa Malware wa Linux
Linux Malware Detect (LMD) ni programu ya kuchunguza malware kwa ajili ya Linux iliyotolewa chini ya leseni ya GNU GPLv2, ambayo imeundwa kuzingatia vitisho vinavyokabiliwa katika mazingira ya kuhudumia pamoja. Inatumia data ya vitisho kutoka kwa mifumo ya uchunguzi wa kuvamia pembezoni mwa mtandao ili kuchambua malware inayotumiwa kwa shambulio na kuzalisha saini za kugundua. Aidha, data ya vitisho pia hutokana na michango ya watumiaji kwa kutumia kipengele cha ukaguzi wa LMD na rasilimali za jamii ya malware.
rkhunter
Zana kama rkhunter inaweza kutumika kuchunguza mfumo wa faili kwa rootkits na malware.
FLOSS
FLOSS ni chombo ambacho kitajaribu kupata strings zilizofichwa ndani ya faili za kutekelezwa kwa kutumia njia tofauti.
PEpper
PEpper huchunguza vitu vya msingi ndani ya faili ya kutekelezwa (data ya binary, entropy, URLs na IPs, baadhi ya sheria za yara).
PEstudio
PEstudio ni chombo kinachoruhusu kupata taarifa za faili za kutekelezwa za Windows kama vile uingizaji, utoaji, vichwa, lakini pia itachunguza virus total na kupata mbinu za shambulizi za uwezekano.
Detect It Easy(DiE)
DiE ni chombo cha kugundua ikiwa faili ime fichwa na pia kupata packers.
NeoPI
NeoPI ni skripti ya Python inayotumia aina mbalimbali za njia za takwimu kugundua maudhui yaliyofichwa na yaliyofichwa ndani ya faili za maandishi/skripti. Lengo la NeoPI ni kusaidia katika ugunduzi wa nambari iliyofichwa ya web shell.
php-malware-finder
PHP-malware-finder inafanya bidii yake bora kugundua nambari iliyofichwa/nambari isiyofaa pamoja na faili zinazotumia kazi za PHP mara nyingi hutumiwa katika malwares/webshells.
Vielelezo vya Saini za Binary za Apple
Unapochunguza sampuli fulani za malware unapaswa daima kuangalia saini ya binary kwani mwendelezaji aliyetia saini inaweza tayari kuwa husiana na malware.
Mbinu za Kugundua
Kufunga Faili
Ikiwa unajua kwamba folda fulani inayohifadhi faili za seva ya wavuti ilikuwa imeboreshwa mwisho tarehe fulani. Angalia tarehe ambayo faili zote kwenye seva ya wavuti ziliumbwa na kuhaririwa na ikiwa tarehe yoyote ni ya shaka, hakiki faili hiyo.
Vipimo vya Msingi
Ikiwa faili za folda hazipaswi kuhaririwa, unaweza kuhesabu hash ya faili za asili za folda na kuzilinganisha na za sasa. Kitu chochote kilichohaririwa kitakuwa cha shaka.
Uchambuzi wa Takwimu
Wakati habari inahifadhiwa kwenye magogo unaweza kuchunguza takwimu kama mara ngapi kila faili ya seva ya wavuti ilipatikana kwani kabati la wavuti linaweza kuwa moja ya.
Last updated