Malware Analysis

Reading time: 7 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

Forensics CheatSheets

https://www.jaiminton.com/cheatsheet/DFIR/#

Online Services

Offline Antivirus and Detection Tools

Yara

Install

bash
sudo apt-get install -y yara

Prepare rules

इस स्क्रिप्ट का उपयोग करके github से सभी yara malware नियमों को डाउनलोड और मर्ज करें: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
rules निर्देशिका बनाएं और इसे निष्पादित करें। यह malware_rules.yar नामक एक फ़ाइल बनाएगा जिसमें malware के लिए सभी yara नियम शामिल हैं।

bash
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

स्कैन

bash
yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: मैलवेयर की जांच करें और नियम बनाएं

आप बाइनरी से यारा नियम उत्पन्न करने के लिए टूल YaraGen का उपयोग कर सकते हैं। इन ट्यूटोरियल्स को देखें: भाग 1, भाग 2, भाग 3

bash
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

स्थापित करें

sudo apt-get install -y clamav

स्कैन

bash
sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa संभावित हानिकारक क्षमताओं का पता लगाता है जो executables में होती हैं: PE, ELF, .NET। इसलिए यह ऐसे चीजें खोजेगा जैसे Att&ck रणनीतियाँ, या संदिग्ध क्षमताएँ जैसे:

  • OutputDebugString त्रुटि के लिए जांचें
  • सेवा के रूप में चलाएँ
  • प्रक्रिया बनाएँ

इसे Github repo में प्राप्त करें।

IOCs

IOC का अर्थ है Indicator Of Compromise। एक IOC कुछ संभावित अवांछित सॉफ़्टवेयर या पुष्टि किए गए malware की पहचान करने के लिए शर्तों का एक सेट है। ब्लू टीमें इस प्रकार की परिभाषा का उपयोग अपने सिस्टम और नेटवर्क में इस प्रकार की हानिकारक फ़ाइलों की खोज के लिए करती हैं।
इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में malware की पहचान की जाती है और उस malware के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीमें इसे malware की पहचान तेजी से करने के लिए उपयोग कर सकती हैं।

IOCs बनाने या संशोधित करने के लिए एक उपकरण है IOC Editor.
आप Redline जैसे उपकरणों का उपयोग करके एक डिवाइस में परिभाषित IOCs की खोज कर सकते हैं।

Loki

Loki सरल Indicators of Compromise के लिए एक स्कैनर है।
पता लगाने के चार तरीकों पर आधारित है:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

Linux Malware Detect

Linux Malware Detect (LMD) एक मैलवेयर स्कैनर है जो GNU GPLv2 लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरण में सामना की जाने वाली खतरों के चारों ओर डिज़ाइन किया गया है। यह नेटवर्क एज इंट्रूज़न डिटेक्शन सिस्टम से खतरे के डेटा का उपयोग करता है ताकि उन मैलवेयर को निकाला जा सके जो हमलों में सक्रिय रूप से उपयोग किए जा रहे हैं और पहचान के लिए सिग्नेचर उत्पन्न करता है। इसके अतिरिक्त, खतरे का डेटा LMD चेकआउट फीचर और मैलवेयर समुदाय संसाधनों के साथ उपयोगकर्ता सबमिशन से भी प्राप्त किया जाता है।

rkhunter

जैसे उपकरण rkhunter का उपयोग फ़ाइल सिस्टम की जांच के लिए संभावित रूटकिट्स और मैलवेयर के लिए किया जा सकता है।

bash
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS एक उपकरण है जो विभिन्न तकनीकों का उपयोग करके निष्पादन योग्य फ़ाइलों के अंदर छिपे हुए स्ट्रिंग्स को खोजने की कोशिश करेगा।

PEpper

PEpper निष्पादन योग्य फ़ाइल के अंदर कुछ बुनियादी चीजों की जांच करता है (बाइनरी डेटा, एंट्रॉपी, URL और IP, कुछ यारा नियम)।

PEstudio

PEstudio एक उपकरण है जो Windows निष्पादन योग्य फ़ाइलों की जानकारी प्राप्त करने की अनुमति देता है जैसे कि आयात, निर्यात, हेडर, लेकिन यह वायरस टोटल की भी जांच करेगा और संभावित Att&ck तकनीकों को खोजेगा।

Detect It Easy(DiE)

DiE एक उपकरण है जो यह पता लगाने के लिए है कि क्या एक फ़ाइल एन्क्रिप्टेड है और पैकर भी खोजता है।

NeoPI

NeoPI एक Python स्क्रिप्ट है जो छिपे हुए और एन्क्रिप्टेड सामग्री का पता लगाने के लिए विभिन्न सांख्यिकीय विधियों का उपयोग करती है। NeoPI का उद्देश्य छिपे हुए वेब शेल कोड का पता लगाने में सहायता करना है।

php-malware-finder

PHP-malware-finder छिपे हुए/संदिग्ध कोड के साथ-साथ PHP फ़ंक्शंस का उपयोग करने वाली फ़ाइलों का पता लगाने के लिए अपनी पूरी कोशिश करता है जो अक्सर मैलवेयर/वेबशेल में उपयोग किए जाते हैं।

Apple Binary Signatures

जब आप कुछ मैलवेयर नमूना की जांच कर रहे हों तो आपको हमेशा बाइनरी के हस्ताक्षर की जांच करनी चाहिए क्योंकि डेवलपर जिसने इसे हस्ताक्षरित किया है, वह पहले से ही मैलवेयर से संबंधित हो सकता है।

bash
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

Detection Techniques

File Stacking

यदि आप जानते हैं कि किसी फ़ोल्डर में फाइलें एक वेब सर्वर की अंतिम बार कुछ तारीख पर अपडेट की गई थींजांचें कि वेब सर्वर में सभी फाइलों की तारीख कब बनाई और संशोधित की गई थी और यदि कोई तारीख संदिग्ध है, तो उस फ़ाइल की जांच करें।

Baselines

यदि किसी फ़ोल्डर की फाइलें संशोधित नहीं की जानी चाहिए थीं, तो आप फ़ोल्डर की मूल फाइलों का हैश निकाल सकते हैं और उन्हें वर्तमान फाइलों के साथ तुलना कर सकते हैं। जो भी संशोधित होगा वह संदिग्ध होगा।

Statistical Analysis

जब जानकारी लॉग में सहेजी जाती है, तो आप सांख्यिकी की जांच कर सकते हैं जैसे कि एक वेब शेल के रूप में प्रत्येक फाइल को कितनी बार एक्सेस किया गया

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें