Malware Analysis
Шпаргалки з форензики
https://www.jaiminton.com/cheatsheet/DFIR/#
Онлайн-сервіси
Офлайн-антивірусні та інструменти виявлення
Yara
Встановлення
Підготовка правил
Використовуйте цей скрипт для завантаження та об'єднання всіх правил yara для виявлення шкідливих програм з github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Створіть каталог rules та виконайте його. Це створить файл з назвою malware_rules.yar, який містить всі правила yara для виявлення шкідливих програм.
Сканування
YaraGen: Перевірка наявності шкідливих програм та створення правил
Ви можете використовувати інструмент YaraGen для генерації правил yara з бінарного файлу. Перегляньте ці уроки: Частина 1, Частина 2, Частина 3
ClamAV
Встановлення
Сканування
Capa виявляє потенційно шкідливі можливості в виконуваних файлах: PE, ELF, .NET. Таким чином, він знайде такі речі, як тактика Att&ck або підозрілі можливості, такі як:
перевірка помилки OutputDebugString
запуск як служба
створення процесу
Отримайте його в репозиторії Github.
IOCs
IOC означає Індикатор Компрометації. IOC - це набір умов, які ідентифікують деяке потенційно небажане програмне забезпечення або підтверджене шкідливе програмне забезпечення. Команди Blue використовують цей тип визначення для пошуку цього типу шкідливих файлів у своїх системах та мережах. Дуже корисно ділитися цими визначеннями, оскільки коли шкідливе програмне забезпечення ідентифікується на комп'ютері і створюється IOC для цього шкідливого програмного забезпечення, інші Команди Blue можуть використовувати його для ідентифікації шкідливого програмного забезпечення швидше.
Інструмент для створення або зміни IOCs - IOC Editor. Ви можете використовувати інструменти, такі як Redline для пошуку визначених IOCs на пристрої.
Loki
Loki - це сканер для простих індикаторів компрометації. Виявлення базується на чотирьох методах виявлення:
Виявлення шкідливих програм для Linux
Linux Malware Detect (LMD) - це програма для виявлення шкідливих програм для Linux, яка випущена під ліцензією GNU GPLv2 і призначена для виявлення загроз, з якими стикаються в спільних хостингових середовищах. Вона використовує дані про загрози з систем виявлення вторгнень на мережевому краю для вилучення шкідливих програм, які активно використовуються в атаках, та генерує підписи для виявлення. Крім того, дані про загрози також походять від користувацьких внесків за допомогою функції перевірки LMD та ресурсів спільноти щодо шкідливих програм.
rkhunter
Інструменти, такі як rkhunter, можуть бути використані для перевірки файлової системи на можливі rootkits та шкідливі програми.
FLOSS
FLOSS - це інструмент, який спробує знайти зашифровані рядки всередині виконуваних файлів за допомогою різних технік.
PEpper
PEpper перевіряє деякі основні речі всередині виконуваного файлу (бінарні дані, ентропія, URL-адреси та IP-адреси, деякі правила yara).
PEstudio
PEstudio - це інструмент, який дозволяє отримувати інформацію про виконувані файли Windows, таку як імпорт, експорт, заголовки, а також перевіряє VirusTotal та знаходить потенційні техніки Att&ck.
Detect It Easy(DiE)
DiE - це інструмент для виявлення того, чи є файл зашифрованим, а також для пошуку упаковувальників.
NeoPI
NeoPI - це сценарій Python, який використовує різноманітні статистичні методи для виявлення зашифрованого та зашифрованого вмісту в текстових/сценарних файлах. Призначення NeoPI - допомогти в виявленні прихованого коду веб-оболонок.
php-malware-finder
PHP-malware-finder робить все можливе для виявлення зашифрованого/підозрілого коду, а також файлів, які використовують функції PHP, які часто використовуються в зловмисних програмах/веб-оболонках.
Apple Binary Signatures
При перевірці деякого зразка шкідливого ПЗ ви завжди повинні перевіряти підпис бінарного файлу, оскільки розробник, який його підписав, може вже бути пов'язаний з шкідливим ПЗ.
Техніки виявлення
Стекінг файлів
Якщо ви знаєте, що деяка тека, що містить файли веб-сервера, була останнім разом оновлена на певну дату. Перевірте дату створення та зміни всіх файлів на веб-сервері, і якщо яка-небудь дата є підозрілою, перевірте цей файл.
Базові значення
Якщо файли теки не повинні були змінені, ви можете обчислити хеш оригінальних файлів теки та порівняти їх з поточними. Будь-яка зміна буде підозрілою.
Статистичний аналіз
Коли інформація зберігається в журналах, ви можете перевірити статистику, таку як кількість разів, коли кожен файл веб-сервера був доступний, оскільки веб-оболонка може бути одним з найбільш.
Last updated