Analiza Malvera

Reading time: 6 minutes

Forenzičke CheatSheets

https://www.jaiminton.com/cheatsheet/DFIR/#

Online Usluge

• VirusTotal
• HybridAnalysis
• Koodous
• Intezer
• Any.Run

Offline Antivirus i Alati za Detekciju

Yara

Instaliraj

sudo apt-get install -y yara

Pripremite pravila

Koristite ovaj skript za preuzimanje i spajanje svih yara pravila za malware sa github-a: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
Kreirajte rules direktorijum i izvršite ga. Ovo će kreirati datoteku pod nazivom malware_rules.yar koja sadrži sva yara pravila za malware.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

Skeniranje

yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: Proverite malver i kreirajte pravila

Možete koristiti alat YaraGen za generisanje yara pravila iz binarnog fajla. Pogledajte ove tutorijale: Deo 1, Deo 2, Deo 3

python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

Instaliraj

sudo apt-get install -y clamav

Skeniranje

sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa otkriva potencijalno zlonamerne mogućnosti u izvršnim datotekama: PE, ELF, .NET. Tako će pronaći stvari kao što su Att&ck taktike, ili sumnjive mogućnosti kao što su:

• provera za OutputDebugString grešku
• pokretanje kao servis
• kreiranje procesa

Preuzmite ga u Github repo.

IOCs

IOC znači Indikator Kompromitacije. IOC je skup uslova koji identifikuju neki potencijalno neželjeni softver ili potvrđeni malver. Plave ekipe koriste ovu vrstu definicije da traže ovakve zlonamerne datoteke u svojim sistemima i mrežama.
Deljenje ovih definicija je veoma korisno jer kada se malver identifikuje na računaru i kreira se IOC za taj malver, druge Plave ekipe mogu to koristiti da brže identifikuju malver.

Alat za kreiranje ili modifikovanje IOCs je IOC Editor.
Možete koristiti alate kao što su Redline da tražite definisane IOCs na uređaju.

Loki

Loki je skener za Simple Indicators of Compromise.
Detekcija se zasniva na četiri metode detekcije:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

Linux Malware Detect

Linux Malware Detect (LMD) je skener za malver za Linux koji je objavljen pod GNU GPLv2 licencom, a dizajniran je oko pretnji sa kojima se suočavaju deljeni hostovani okruženja. Koristi podatke o pretnjama iz sistema za detekciju upada na mrežnom rubu kako bi izvukao malver koji se aktivno koristi u napadima i generiše potpise za detekciju. Pored toga, podaci o pretnjama se takođe dobijaju iz korisničkih prijava putem LMD checkout funkcije i resursa zajednice za malver.

rkhunter

Alati poput rkhunter mogu se koristiti za proveru datotečnog sistema na moguće rootkitove i malver.

sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS je alat koji pokušava da pronađe obfuskirane stringove unutar izvršnih datoteka koristeći različite tehnike.

PEpper

PEpper proverava neke osnovne stvari unutar izvršne datoteke (binarni podaci, entropija, URL-ovi i IP adrese, neka yara pravila).

PEstudio

PEstudio je alat koji omogućava dobijanje informacija o Windows izvršnim datotekama kao što su uvozi, izvozi, zaglavlja, ali takođe proverava virus total i pronalazi potencijalne Att&ck tehnike.

Detect It Easy(DiE)

DiE je alat za detekciju da li je datoteka kriptovana i takođe pronalazi pakere.

NeoPI

NeoPI je Python skripta koja koristi razne statističke metode za detekciju obfuskovanog i kriptovanog sadržaja unutar tekstualnih/skript datoteka. Namena NeoPI-a je da pomogne u detekciji skrivenog web shell koda.

php-malware-finder

PHP-malware-finder daje sve od sebe da detektuje obfuskovani/sumnjivi kod kao i datoteke koje koriste PHP funkcije često korišćene u malverima/webshell-ima.

Apple Binary Signatures

Kada proveravate neki uzorak malvera, uvek treba da proverite potpis binarne datoteke jer razvijač koji je potpisao može već biti povezan sa malverom.

#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

Tehnike Detekcije

Stacking Fajlova

Ako znate da je neka fascikla koja sadrži fajlove web servera poslednji put ažurirana na neki datum. Proverite datum kada su svi fajlovi na web serveru kreirani i modifikovani i ako je neki datum sumnjiv, proverite taj fajl.

Osnovne Linije

Ako fajlovi u fascikli ne bi trebali biti modifikovani, možete izračunati hash originalnih fajlova iz fascikle i uporediti ih sa trenutnim. Sve što je modifikovano će biti sumnjivo.

Statistička Analiza

Kada je informacija sačuvana u logovima, možete proveriti statistiku kao što je koliko puta je svaki fajl web servera bio pristupljen, jer bi web shell mogao biti jedan od naj.