Malware Analise

Reading time: 6 minutes

tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Forensiese CheatSheets

https://www.jaiminton.com/cheatsheet/DFIR/#

Aanlyn Dienste

Aflyn Antivirus en Opsporing Gereedskap

Yara

Installeer

bash
sudo apt-get install -y yara

Berei reëls voor

Gebruik hierdie skrip om al die yara malware reëls van github af te laai en te kombineer: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
Skep die reĂ«ls gids en voer dit uit. Dit sal 'n lĂȘer genaamd malware_rules.yar skep wat al die yara reĂ«ls vir malware bevat.

bash
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

Skande

bash
yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: Kontroleer vir malware en Skep reëls

Jy kan die hulpmiddel YaraGen gebruik om yara reĂ«ls uit 'n binĂȘre te genereer. Kyk na hierdie tutorials: Deel 1, Deel 2, Deel 3

bash
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

Installeer

sudo apt-get install -y clamav

Skande

bash
sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa detecteer potensieel kwaadwillige vermoĂ«ns in uitvoerbare lĂȘers: PE, ELF, .NET. Dit sal dinge vind soos Att&ck taktieke, of verdagte vermoĂ«ns soos:

  • kontroleer vir OutputDebugString fout
  • loop as 'n diens
  • skep proses

Kry dit in die Github repo.

IOCs

IOC beteken Aanwyser van Kompromie. 'n IOC is 'n stel voorwaardes wat sommige potensieel ongewenste sagteware of bevestigde malware identifiseer. Blue Teams gebruik hierdie soort definisie om te soek na hierdie soort kwaadwillige lĂȘers in hul stelsels en netwerke.
Om hierdie definisies te deel is baie nuttig, aangesien wanneer malware in 'n rekenaar geĂŻdentifiseer word en 'n IOC vir daardie malware geskep word, ander Blue Teams dit kan gebruik om die malware vinniger te identifiseer.

'n Gereedskap om IOCs te skep of te wysig is IOC Editor.
Jy kan gereedskap soos Redline gebruik om te soek na gedefinieerde IOCs in 'n toestel.

Loki

Loki is 'n skandeerder vir Eenvoudige Aanwysers van Kompromie.
Detectie is gebaseer op vier detectiemetodes:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

Linux Malware Detect

Linux Malware Detect (LMD) is 'n malware skandeerder vir Linux wat vrygestel is onder die GNU GPLv2 lisensie, wat ontwerp is rondom die bedreigings wat in gedeelde gasheeromgewings voorkom. Dit gebruik bedreigingsdata van netwerkrand indringingsdeteksiesisteme om malware wat aktief in aanvalle gebruik word, te onttrek en genereer handtekeninge vir opsporing. Daarbenewens word bedreigingsdata ook afgelei van gebruikersindienings met die LMD afrekenfunksie en malware gemeenskapsbronne.

rkhunter

Gereedskap soos rkhunter kan gebruik word om die lĂȘerstelsel te kontroleer vir moontlike rootkits en malware.

bash
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS is 'n hulpmiddel wat sal probeer om obfuskeerde stringe binne uitvoerbare lĂȘers te vind deur verskillende tegnieke te gebruik.

PEpper

PEpper kontroleer 'n paar basiese goed binne die uitvoerbare lĂȘer (binarie data, entropie, URL's en IP's, 'n paar yara reĂ«ls).

PEstudio

PEstudio is 'n hulpmiddel wat inligting van Windows uitvoerbare lĂȘers soos invoere, uitvoere, koptekste verkry, maar sal ook virus total kontroleer en potensiĂ«le Att&ck tegnieke vind.

Detect It Easy(DiE)

DiE is 'n hulpmiddel om te detecteer of 'n lĂȘer geĂ«nkripteer is en ook packers te vind.

NeoPI

NeoPI is 'n Python-skrip wat 'n verskeidenheid statistiese metodes gebruik om obfuskeerde en geĂ«nkripteerde inhoud binne teks/skrip lĂȘers te detecteer. Die beoogde doel van NeoPI is om te help met die detectie van verborge web shell kode.

php-malware-finder

PHP-malware-finder doen sy beste om obfuskeerde/verdagte kode sowel as lĂȘers wat PHP funksies gebruik wat dikwels in malwares/webshells gebruik word, te detecteer.

Apple Binary Signatures

Wanneer jy 'n paar malware monsters kontroleer, moet jy altyd die handtekening van die binĂȘre lĂȘer kontroleer, aangesien die ontwikkelaar wat dit onderteken het, dalk reeds verbonde is met malware.

bash
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

Ontdekkings Tegnieke

LĂȘer Stapeling

As jy weet dat 'n sekere gids wat die lĂȘers van 'n webbediener bevat laas op 'n sekere datum opgedateer is. Kontroleer die datum waarop al die lĂȘers in die webbediener geskep en gewysig is, en as enige datum verdag is, kontroleer daardie lĂȘer.

Baselines

As die lĂȘers van 'n gids nie gewysig moes gewees het nie, kan jy die hash van die oorspronklike lĂȘers van die gids bereken en dit met die huidige lĂȘers vergelyk. Enige iets wat gewysig is, sal verdag wees.

Statistiese Analise

Wanneer die inligting in logs gestoor word, kan jy statistieke kontroleer soos hoeveel keer elke lĂȘer van 'n webbediener toeganklik was, aangesien 'n web shell een van die mees kan wees.

tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks