# Malware Analise {% hint style="success" %} Leer & oefen AWS Hack:[**HackTricks Opleiding AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Leer & oefen GCP Hack: [**HackTricks Opleiding GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Ondersteun HackTricks * Kontroleer die [**inskrywingsplanne**](https://github.com/sponsors/carlospolop)! * **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐩 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Deel hacktruuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %} ## Forensiese Spiekbriefjies [https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/) ## Aanlyn Dienste * [VirusTotal](https://www.virustotal.com/gui/home/upload) * [HybridAnalysis](https://www.hybrid-analysis.com) * [Koodous](https://koodous.com) * [Intezer](https://analyze.intezer.com) * [Any.Run](https://any.run/) ## Aflyn Antivirus en Opmerking Gereedskap ### Yara #### Installeer ```bash sudo apt-get install -y yara ``` #### Maak reĂ«ls gereed Gebruik hierdie skrip om al die yara-malware-reĂ«ls vanaf github af te laai en saam te voeg: [https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\ Skep die _**reĂ«ls**_ gids en voer dit uit. Dit sal 'n lĂȘer genaamd _**malware\_rules.yar**_ skep wat al die yara-reĂ«ls vir malware bevat. ```bash wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py mkdir rules python malware_yara_rules.py ``` #### Deurskou ```bash yara -w malware_rules.yar image #Scan 1 file yara -w malware_rules.yar folder #Scan the whole folder ``` #### YaraGen: Kontroleer vir malware en Skep reĂ«ls Jy kan die instrument [**YaraGen**](https://github.com/Neo23x0/yarGen) gebruik om yara-reĂ«ls vanaf 'n binĂȘre lĂȘer te genereer. Kyk na hierdie tutoriale: [**Deel 1**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/), [**Deel 2**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/), [**Deel 3**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/) ```bash python3 yarGen.py --update python3.exe yarGen.py --excludegood -m ../../mals/ ``` ### ClamAV #### Installeer ``` sudo apt-get install -y clamav ``` #### Deurskou ```bash sudo freshclam #Update rules clamscan filepath #Scan 1 file clamscan folderpath #Scan the whole folder ``` ### [Capa](https://github.com/mandiant/capa) **Capa** ontdek potensieel skadelike **vermoĂ«ns** in uitvoerbare lĂȘers: PE, ELF, .NET. Dit sal dinge soos Att\&ck-taktieke vind, of verdagte vermoĂ«ns soos: - kontroleer vir OutputDebugString-fout - hardloop as 'n diens - skep proses Kry dit in die [**Github-opberging**](https://github.com/mandiant/capa). ### IOCs IOC beteken Indicator Of Compromise. 'N IOC is 'n stel **toestande wat** sommige potensieel ongewenste sagteware of bevestigde **malware identifiseer**. Blou-spanne gebruik hierdie soort definisie om **te soek na hierdie soort skadelike lĂȘers** in hul **sisteme** en **netwerke**.\ Dit is baie nuttig om hierdie definisies te deel, want as malware geĂŻdentifiseer word in 'n rekenaar en 'n IOC vir daardie malware geskep word, kan ander Blou-spanne dit gebruik om die malware vinniger te identifiseer. 'n Gereedskap om IOCs te skep of te wysig is [**IOC Editor**](https://www.fireeye.com/services/freeware/ioc-editor.html)**.**\ Jy kan gereedskappe soos [**Redline**](https://www.fireeye.com/services/freeware/redline.html) gebruik om **te soek na gedefinieerde IOCs in 'n toestel**. ### Loki [**Loki**](https://github.com/Neo23x0/Loki) is 'n skandeerder vir Eenvoudige Indicators of Compromise.\ Deteksie is gebaseer op vier deteksie-metodes: ``` 1. File Name IOC Regex match on full file path/name 2. Yara Rule Check Yara signature matches on file data and process memory 3. Hash Check Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files 4. C2 Back Connect Check Compares process connection endpoints with C2 IOCs (new since version v.10) ``` ### Linux Malware Detect [**Linux Malware Detect (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) is 'n kwaadwillige skandeerder vir Linux wat vrygestel is onder die GNU GPLv2 lisensie, wat ontwerp is rondom die bedreigings wat in gedeelde gehuisvese omgewings ondervind word. Dit maak gebruik van bedreigingsdata van netwerk rand indringing deteksie stelsels om kwaadwillige sagteware te onttrek wat aktief gebruik word in aanvalle en handtekeninge vir opsporing genereer. Daarbenewens word bedreigingsdata ook afgelei van gebruiker inskrywings met die LMD kassiere funksie en kwaadwillige sagteware gemeenskapsbronne. ### rkhunter Gereedskap soos [**rkhunter**](http://rkhunter.sourceforge.net) kan gebruik word om die lĂȘersisteem vir moontlike **rootkits** en kwaadwillige sagteware te ondersoek. ```bash sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress] ``` ### FLOSS [**FLOSS**](https://github.com/mandiant/flare-floss) is 'n instrument wat sal probeer om versluierde strings binne uitvoerbare lĂȘers te vind deur verskillende tegnieke te gebruik. ### PEpper [PEpper](https://github.com/Th3Hurrican3/PEpper) kontroleer sommige basiese dinge binne die uitvoerbare lĂȘer (binĂȘre data, entropie, URL's en IP-adresse, sommige yara-reĂ«ls). ### PEstudio [PEstudio](https://www.winitor.com/download) is 'n instrument wat toelaat om inligting van Windows-uitvoerbare lĂȘers te kry soos invoer, uitvoer, koppe, maar sal ook virus totaal nagaan en potensiĂ«le Aanval-tegnieke vind. ### Detect It Easy(DiE) [**DiE**](https://github.com/horsicq/Detect-It-Easy/) is 'n instrument om te bepaal of 'n lĂȘer **versleutel** is en ook **pakkers** te vind. ### NeoPI [**NeoPI**](https://github.com/CiscoCXSecurity/NeoPI) is 'n Python-skrip wat 'n verskeidenheid van **statistiese metodes** gebruik om **versluierde** en **versleutelde** inhoud binne teks/skripslĂȘers op te spoor. Die bedoelde doel van NeoPI is om te help met die **opsporing van verskuilde webshell-kode**. ### **php-malware-finder** [**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) doen sy uiterste bes om **versluierde**/**dubbelsinnige kode** asook lĂȘers wat **PHP**-funksies gebruik wat dikwels in **malware**/webshells gebruik word, op te spoor. ### Apple BinĂȘre Handtekeninge Wanneer jy 'n paar **malware monsters** nagaan, moet jy altyd die handtekening van die binĂȘre lĂȘer **nagaan**, aangesien die **ontwikkelaar** wat dit onderteken het, moontlik alreeds met **malware** verband hou. ```bash #Get signer codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier" #Check if the app’s contents have been modified codesign --verify --verbose /Applications/Safari.app #Check if the signature is valid spctl --assess --verbose /Applications/Safari.app ``` ## Opsoek Tegnieke ### LĂȘer Stapeling As jy weet dat 'n sekere vouer wat die **lĂȘers** van 'n webbediener bevat, **laas op 'n sekere datum opgedateer is**. **Kontroleer** die **datum** van alle **lĂȘers** in die **webbediener wat geskep en gewysig is** en as enige datum **verdag voorkom**, kontroleer daardie lĂȘer. ### Baseline As die lĂȘers van 'n vouer **nie behoort te wees gewysig nie**, kan jy die **hassie** van die **oorspronklike lĂȘers** van die vouer bereken en hulle **vergelyk** met die **huidige** een. Enige iets wat gewysig is, sal **verdag wees**. ### Statistiese Analise Wanneer die inligting in logboeke gestoor word, kan jy **statistieke soos hoeveel keer elke lĂȘer van 'n webbediener benader is, nagaan aangesien 'n webskulp een van die mees** kan wees. {% hint style="success" %} Leer & oefen AWS Hack: [**HackTricks Opleiding AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Leer & oefen GCP Hack: [**HackTricks Opleiding GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Ondersteun HackTricks * Kontroleer die [**inskrywingsplanne**](https://github.com/sponsors/carlospolop)! * **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐩 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Deel hacktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
{% endhint %}