# मैलवेयर विश्लेषण
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! HackTricks का समर्थन करने के अन्य तरीके: * यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स देखें**](https://github.com/sponsors/carlospolop)! * [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें * हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें * **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर फॉलो** करें। * **अपने हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
## फोरेंसिक्स चीटशीट्स [https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/) ## ऑनलाइन सेवाएं * [VirusTotal](https://www.virustotal.com/gui/home/upload) * [HybridAnalysis](https://www.hybrid-analysis.com) * [Koodous](https://koodous.com) * [Intezer](https://analyze.intezer.com) * [Any.Run](https://any.run/) ## ऑफलाइन एंटीवायरस और पहचान उपकरण ### Yara #### स्थापित ```bash sudo apt-get install -y yara ``` #### नियम तैयार करें इस स्क्रिप्ट का उपयोग करके गिथब से सभी यारा मैलवेयर नियम डाउनलोड और मर्ज करें: [https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\ _**rules**_ निर्देशिका बनाएं और इसे निष्पादित करें। इससे _**malware\_rules.yar**_ नाम की फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे। ```bash wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py mkdir rules python malware_yara_rules.py ``` #### स्कैन ```bash yara -w malware_rules.yar image #Scan 1 file yara -w malware_rules.yar folder #Scan the whole folder ``` #### YaraGen: मैलवेयर की जांच करें और नियम बनाएं आप टूल [**YaraGen**](https://github.com/Neo23x0/yarGen) का उपयोग करके एक बाइनरी से यारा नियम उत्पन्न कर सकते हैं। इन ट्यूटोरियल्स की जाँच करें: [**भाग 1**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/), [**भाग 2**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/), [**भाग 3**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/) ```bash python3 yarGen.py --update python3.exe yarGen.py --excludegood -m ../../mals/ ``` ### ClamAV #### स्थापित करें ``` sudo apt-get install -y clamav ``` #### स्कैन ```bash sudo freshclam #Update rules clamscan filepath #Scan 1 file clamscan folderpath #Scan the whole folder ``` ### [कैपा](https://github.com/mandiant/capa) **कैपा** executables में पोटेंशियली हानिकारक **क्षमताएँ** का पता लगाता है: PE, ELF, .NET। इसलिए यह चीजों को खोजेगा जैसे Att\&ck तकनीकें, या संदिग्ध क्षमताएँ जैसे: * OutputDebugString त्रुटि की जांच करें * सेवा के रूप में चलाएं * प्रक्रिया बनाएं इसे [**Github रेपो**](https://github.com/mandiant/capa) से प्राप्त करें। ### IOCs IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट की **शर्तें हैं जो** कुछ पोटेंशियली अवांछित सॉफ्टवेयर या पुष्ट **मैलवेयर** की पहचान करती हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने **सिस्टम** और **नेटवर्क** में इस प्रकार के हानिकारक फ़ाइलों की **खोज के लिए** करती है।\ इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान होती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम इसका उपयोग करके मैलवेयर की पहचान तेजी से कर सकती है। IOC बनाने या संशोधित करने के लिए एक उपकरण है [**IOC संपादक**](https://www.fireeye.com/services/freeware/ioc-editor.html)**।**\ आप उपकरणों का उपयोग कर सकते हैं जैसे [**Redline**](https://www.fireeye.com/services/freeware/redline.html) **डिवाइस में परिभाषित IOC की खोज करने के लिए**। ### लोकी [**लोकी**](https://github.com/Neo23x0/Loki) एक स्कैनर है आसान इंडिकेटर्स ऑफ कंप्रोमाइज के लिए।\ पहचान चार पहचान पद्धतियों पर आधारित है: ``` 1. File Name IOC Regex match on full file path/name 2. Yara Rule Check Yara signature matches on file data and process memory 3. Hash Check Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files 4. C2 Back Connect Check Compares process connection endpoints with C2 IOCs (new since version v.10) ``` ### लिनक्स मैलवेयर डिटेक्ट [**लिनक्स मैलवेयर डिटेक्ट (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) एक मैलवेयर स्कैनर है जो गनू जीवीपीएल लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरणों में प्रतिकूलताओं के आसपास डिज़ाइन किया गया है। यह नेटवर्क किनारे घुसपैठ डिटेक्शन सिस्टम से धमाकों में उपयोग किया जा रहा मैलवेयर निकालने के लिए धमाकों से निकाला गया मैलवेयर का डेटा उपयोग करता है और पहचान के लिए सिग्नेचर उत्पन्न करता है। साथ ही, धमाकों से डेटा भी LMD चेकआउट सुविधा और मैलवेयर समुदाय संसाधनों से प्राप्त किया जाता है। ### आरकेहंटर [**रेखंटर**](http://rkhunter.sourceforge.net) जैसे उपकरण फाइल सिस्टम की जाँच के लिए उपयोग किया जा सकता है जहाँ संभावित **रूटकिट्स** और मैलवेयर की जाँच की जा सकती है। ```bash sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress] ``` ### FLOSS [**FLOSS**](https://github.com/mandiant/flare-floss) एक टूल है जो विभिन्न तकनीकों का उपयोग करके executables में छिपे हुए strings को खोजने का प्रयास करेगा। ### PEpper [PEpper ](https://github.com/Th3Hurrican3/PEpper) executable में कुछ मौलिक विषयों की जांच करता है (बाइनरी डेटा, एंट्रोपी, URLs और IPs, कुछ yara नियम।) ### PEstudio [PEstudio](https://www.winitor.com/download) एक टूल है जो Windows executables की जानकारी प्राप्त करने की अनुमति देता है जैसे imports, exports, headers, लेकिन यह वायरस टोटल की जांच करेगा और पोटेंशियल Att\&ck तकनीकों को भी खोजेगा। ### Detect It Easy(DiE) [**DiE**](https://github.com/horsicq/Detect-It-Easy/) एक टूल है जो फ़ाइल को **एन्क्रिप्टेड** है या नहीं यह खोजने के लिए है और **पैकर्स** को भी खोजेगा। ### NeoPI [**NeoPI** ](https://github.com/CiscoCXSecurity/NeoPI) एक Python स्क्रिप्ट है जो **सांख्यिकीय विधियों** का उपयोग करके **छिपे हुए** और **एन्क्रिप्टेड** सामग्री की खोज करने के लिए है। NeoPI का उद्देश्य **छिपी वेब शैल कोड** की **खोज** में सहायता करना है। ### **php-malware-finder** [**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) अपनी सर्वोत्तम प्रयास करता है कि **छिपे हुए**/**अविश्वसनीय कोड** को खोजें जैसे कि फ़ाइलें जो **मैलवेयर**/वेबशैल में अक्सर उपयोग की जाने वाली **PHP** फ़ंक्शन्स का उपयोग कर रही हों। ### Apple Binary Signatures किसी **मैलवेयर नमूने** की जांच करते समय आपको हमेशा बाइनरी के **सिग्नेचर** की जांच करनी चाहिए क्योंकि उस **डेवलपर** को जिसने इसे साइन किया हो, पहले से ही **मैलवेयर** से **संबंधित** हो सकता है। ```bash #Get signer codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier" #Check if the app’s contents have been modified codesign --verify --verbose /Applications/Safari.app #Check if the signature is valid spctl --assess --verbose /Applications/Safari.app ``` ## पहचान तकनीकें ### फ़ाइल स्टैकिंग अगर आपको पता है कि किसी वेब सर्वर के **फ़ाइलें** की एक फ़ोल्डर **कोई निश्चित तारीख** को **अपडेट किया गया था**। **जांचें** कि **वेब सर्वर की सभी फ़ाइलें कब बनाई और संशोधित** की गई थीं और यदि कोई तारीख **संदिग्ध** है, तो उस फ़ाइल की जांच करें। ### बेसलाइन्स अगर किसी फ़ोल्डर की फ़ाइलें **संशोधित नहीं होनी चाहिए**, तो आप फ़ोल्डर की **मौलिक फ़ाइलों** का **हैश** निकाल सकते हैं और उन्हें **वर्तमान** वालों के साथ **तुलना** कर सकते हैं। कुछ भी संशोधित होने पर **संदिग्ध** होगा। ### सांख्यिकीय विश्लेषण जब जानकारी लॉग में सहेजी जाती है तो आप **जांच सकते हैं कि वेब सर्वर की प्रत्येक फ़ाइल का कितनी बार एक्सेस किया गया था क्योंकि एक वेब शैल में एक** शामिल हो सकता है।