Uchambuzi wa Malware

Reading time: 6 minutes

Vidokezo vya Forensics

https://www.jaiminton.com/cheatsheet/DFIR/#

Huduma za Mtandaoni

• VirusTotal
• HybridAnalysis
• Koodous
• Intezer
• Any.Run

Zana za Antivirus na Ugunduzi za Offline

Yara

Sakinisha

sudo apt-get install -y yara

Andaa sheria

Tumia skripti hii kupakua na kuunganisha sheria zote za yara malware kutoka github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
Unda saraka ya rules na uifanye. Hii itaunda faili inayoitwa malware_rules.yar ambayo ina sheria zote za yara za malware.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

Skana

yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: Angalia kwa malware na Unda sheria

Unaweza kutumia chombo YaraGen kuunda sheria za yara kutoka kwa binary. Angalia mafunzo haya: Sehemu ya 1, Sehemu ya 2, Sehemu ya 3

python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

Sakinisha

sudo apt-get install -y clamav

Skana

sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa inagundua uwezo ambao unaweza kuwa na madhara katika executable: PE, ELF, .NET. Hivyo itapata mambo kama mbinu za Att&ck, au uwezo wa kutatanisha kama:

• angalia kosa la OutputDebugString
• endesha kama huduma
• tengeneza mchakato

Pata katika Github repo.

IOCs

IOC inamaanisha Kielelezo cha Kuathiriwa. IOC ni seti ya masharti yanayobaini baadhi ya programu zisizohitajika au malware iliyothibitishwa. Blue Teams hutumia aina hii ya ufafanuzi ili kutafuta aina hii ya faili zenye madhara katika mifumo yao na mitandao.
Kushiriki ufafanuzi huu ni muhimu sana kwani wakati malware inatambuliwa kwenye kompyuta na IOC kwa malware hiyo inaundwa, Blue Teams wengine wanaweza kuitumia ili kutambua malware haraka.

Zana ya kuunda au kubadilisha IOCs ni IOC Editor.
Unaweza kutumia zana kama Redline ili kutafuta IOCs zilizofafanuliwa katika kifaa.

Loki

Loki ni skana kwa ajili ya Viashiria Rahisi vya Kuathiriwa.
Ugunduzi unategemea mbinu nne za ugunduzi:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

Linux Malware Detect

Linux Malware Detect (LMD) ni skana ya malware kwa Linux iliyotolewa chini ya leseni ya GNU GPLv2, ambayo imeundwa kuzingatia vitisho vinavyokabiliwa katika mazingira ya mwenyeji wa pamoja. Inatumia data za vitisho kutoka kwa mifumo ya kugundua uvamizi kwenye mpaka wa mtandao ili kutoa malware inayotumika kwa shambulio na kuunda saini za kugundua. Zaidi ya hayo, data za vitisho pia zinatokana na michango ya watumiaji kupitia kipengele cha LMD checkout na rasilimali za jamii ya malware.

rkhunter

Zana kama rkhunter zinaweza kutumika kuangalia mfumo wa faili kwa ajili ya rootkits na malware.

sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS ni chombo ambacho kitajaribu kupata nyuzi zilizofichwa ndani ya executable kwa kutumia mbinu tofauti.

PEpper

PEpper inakagua mambo ya msingi ndani ya executable (data ya binary, entropy, URLs na IPs, baadhi ya sheria za yara).

PEstudio

PEstudio ni chombo kinachoruhusu kupata taarifa za Windows executables kama vile imports, exports, headers, lakini pia kitakagua virus total na kupata mbinu za Att&ck zinazoweza kutokea.

Detect It Easy(DiE)

DiE ni chombo cha kugundua kama faili ime encrypted na pia kupata packers.

NeoPI

NeoPI ni script ya Python inayotumia mbinu mbalimbali za statistical methods kugundua maudhui yaliyofichwa na encrypted ndani ya faili za maandiko/script. Lengo la NeoPI ni kusaidia katika detection of hidden web shell code.

php-malware-finder

PHP-malware-finder inajitahidi sana kugundua obfuscated/dodgy code pamoja na faili zinazotumia PHP functions ambazo mara nyingi hutumiwa katika malwares/webshells.

Apple Binary Signatures

Unapokagua baadhi ya malware sample unapaswa kila wakati check the signature ya binary kwani developer aliyeisaini anaweza kuwa tayari related na malware.

#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

Mbinu za Kugundua

Kuunganisha Faili

Ikiwa unajua kwamba folda fulani inayoshikilia faili za seva ya wavuti ilikua imepitiwa mara ya mwisho kwenye tarehe fulani. Angalia tarehe zote za faili katika seva ya wavuti zilipoundwa na kubadilishwa na ikiwa tarehe yoyote ni ya kushangaza, angalia faili hiyo.

Msingi

Ikiwa faili za folda hazipaswi kubadilishwa, unaweza kuhesabu hash ya faili za asili za folda na kulinganisha na zile za sasa. Kila kitu kilichobadilishwa kitakuwa cha kushangaza.

Uchambuzi wa Takwimu

Wakati taarifa zimehifadhiwa katika kumbukumbu unaweza kuangalia takwimu kama vile ni mara ngapi kila faili ya seva ya wavuti ilifikiriwa kama shell ya wavuti inaweza kuwa moja ya nyingi zaidi.