14 KiB
मैलवेयर विश्लेषण
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!
HackTricks का समर्थन करने के अन्य तरीके:
- यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
- आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
- हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
- शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
- अपने हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।
फोरेंसिक्स चीटशीट्स
https://www.jaiminton.com/cheatsheet/DFIR/#
ऑनलाइन सेवाएं
ऑफलाइन एंटीवायरस और पहचान उपकरण
Yara
स्थापित
sudo apt-get install -y yara
नियम तैयार करें
इस स्क्रिप्ट का उपयोग करके गिथब से सभी यारा मैलवेयर नियम डाउनलोड और मर्ज करें: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
rules निर्देशिका बनाएं और इसे निष्पादित करें। इससे malware_rules.yar नाम की फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे।
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
स्कैन
yara -w malware_rules.yar image #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
YaraGen: मैलवेयर की जांच करें और नियम बनाएं
आप टूल YaraGen का उपयोग करके एक बाइनरी से यारा नियम उत्पन्न कर सकते हैं। इन ट्यूटोरियल्स की जाँच करें: भाग 1, भाग 2, भाग 3
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m ../../mals/
ClamAV
स्थापित करें
sudo apt-get install -y clamav
स्कैन
sudo freshclam #Update rules
clamscan filepath #Scan 1 file
clamscan folderpath #Scan the whole folder
कैपा
कैपा executables में पोटेंशियली हानिकारक क्षमताएँ का पता लगाता है: PE, ELF, .NET। इसलिए यह चीजों को खोजेगा जैसे Att&ck तकनीकें, या संदिग्ध क्षमताएँ जैसे:
- OutputDebugString त्रुटि की जांच करें
- सेवा के रूप में चलाएं
- प्रक्रिया बनाएं
इसे Github रेपो से प्राप्त करें।
IOCs
IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट की शर्तें हैं जो कुछ पोटेंशियली अवांछित सॉफ्टवेयर या पुष्ट मैलवेयर की पहचान करती हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने सिस्टम और नेटवर्क में इस प्रकार के हानिकारक फ़ाइलों की खोज के लिए करती है।
इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान होती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम इसका उपयोग करके मैलवेयर की पहचान तेजी से कर सकती है।
IOC बनाने या संशोधित करने के लिए एक उपकरण है IOC संपादक।
आप उपकरणों का उपयोग कर सकते हैं जैसे Redline डिवाइस में परिभाषित IOC की खोज करने के लिए।
लोकी
लोकी एक स्कैनर है आसान इंडिकेटर्स ऑफ कंप्रोमाइज के लिए।
पहचान चार पहचान पद्धतियों पर आधारित है:
1. File Name IOC
Regex match on full file path/name
2. Yara Rule Check
Yara signature matches on file data and process memory
3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
लिनक्स मैलवेयर डिटेक्ट
लिनक्स मैलवेयर डिटेक्ट (LMD) एक मैलवेयर स्कैनर है जो गनू जीवीपीएल लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरणों में प्रतिकूलताओं के आसपास डिज़ाइन किया गया है। यह नेटवर्क किनारे घुसपैठ डिटेक्शन सिस्टम से धमाकों में उपयोग किया जा रहा मैलवेयर निकालने के लिए धमाकों से निकाला गया मैलवेयर का डेटा उपयोग करता है और पहचान के लिए सिग्नेचर उत्पन्न करता है। साथ ही, धमाकों से डेटा भी LMD चेकआउट सुविधा और मैलवेयर समुदाय संसाधनों से प्राप्त किया जाता है।
आरकेहंटर
रेखंटर जैसे उपकरण फाइल सिस्टम की जाँच के लिए उपयोग किया जा सकता है जहाँ संभावित रूटकिट्स और मैलवेयर की जाँच की जा सकती है।
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
FLOSS
FLOSS एक टूल है जो विभिन्न तकनीकों का उपयोग करके executables में छिपे हुए strings को खोजने का प्रयास करेगा।
PEpper
PEpper executable में कुछ मौलिक विषयों की जांच करता है (बाइनरी डेटा, एंट्रोपी, URLs और IPs, कुछ yara नियम।)
PEstudio
PEstudio एक टूल है जो Windows executables की जानकारी प्राप्त करने की अनुमति देता है जैसे imports, exports, headers, लेकिन यह वायरस टोटल की जांच करेगा और पोटेंशियल Att&ck तकनीकों को भी खोजेगा।
Detect It Easy(DiE)
DiE एक टूल है जो फ़ाइल को एन्क्रिप्टेड है या नहीं यह खोजने के लिए है और पैकर्स को भी खोजेगा।
NeoPI
NeoPI एक Python स्क्रिप्ट है जो सांख्यिकीय विधियों का उपयोग करके छिपे हुए और एन्क्रिप्टेड सामग्री की खोज करने के लिए है। NeoPI का उद्देश्य छिपी वेब शैल कोड की खोज में सहायता करना है।
php-malware-finder
PHP-malware-finder अपनी सर्वोत्तम प्रयास करता है कि छिपे हुए/अविश्वसनीय कोड को खोजें जैसे कि फ़ाइलें जो मैलवेयर/वेबशैल में अक्सर उपयोग की जाने वाली PHP फ़ंक्शन्स का उपयोग कर रही हों।
Apple Binary Signatures
किसी मैलवेयर नमूने की जांच करते समय आपको हमेशा बाइनरी के सिग्नेचर की जांच करनी चाहिए क्योंकि उस डेवलपर को जिसने इसे साइन किया हो, पहले से ही मैलवेयर से संबंधित हो सकता है।
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app
#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app
पहचान तकनीकें
फ़ाइल स्टैकिंग
अगर आपको पता है कि किसी वेब सर्वर के फ़ाइलें की एक फ़ोल्डर कोई निश्चित तारीख को अपडेट किया गया था। जांचें कि वेब सर्वर की सभी फ़ाइलें कब बनाई और संशोधित की गई थीं और यदि कोई तारीख संदिग्ध है, तो उस फ़ाइल की जांच करें।
बेसलाइन्स
अगर किसी फ़ोल्डर की फ़ाइलें संशोधित नहीं होनी चाहिए, तो आप फ़ोल्डर की मौलिक फ़ाइलों का हैश निकाल सकते हैं और उन्हें वर्तमान वालों के साथ तुलना कर सकते हैं। कुछ भी संशोधित होने पर संदिग्ध होगा।
सांख्यिकीय विश्लेषण
जब जानकारी लॉग में सहेजी जाती है तो आप जांच सकते हैं कि वेब सर्वर की प्रत्येक फ़ाइल का कितनी बार एक्सेस किया गया था क्योंकि एक वेब शैल में एक शामिल हो सकता है।