9.8 KiB
Analyse de Malware
Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres moyens de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le merchandising officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de hacking en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.
CheatSheets de Forensics
https://www.jaiminton.com/cheatsheet/DFIR/#
Services en Ligne
Antivirus et Outils de Détection Hors Ligne
Yara
Installation
sudo apt-get install -y yara
Préparer les règles
Utilisez ce script pour télécharger et fusionner toutes les règles yara de malware depuis github : https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
Créez le répertoire rules et exécutez-le. Cela créera un fichier appelé malware_rules.yar qui contient toutes les règles yara pour les malwares.
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
Analyse Antivirus
yara -w malware_rules.yar image #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
YaraGen : Vérifier la présence de malware et Créer des règles
Vous pouvez utiliser l'outil YaraGen pour générer des règles yara à partir d'un binaire. Consultez ces tutoriels : Partie 1, Partie 2, Partie 3
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m ../../mals/
ClamAV
Installation
sudo apt-get install -y clamav
Analyse Antivirus
sudo freshclam #Update rules
clamscan filepath #Scan 1 file
clamscan folderpath #Scan the whole folder
Capa
Capa détecte les capacités potentiellement malveillantes dans les exécutables : PE, ELF, .NET. Il trouve donc des éléments tels que les tactiques Att&ck, ou des capacités suspectes telles que :
- vérifier l'erreur OutputDebugString
- s'exécuter en tant que service
- créer un processus
Obtenez-le dans le dépôt Github.
IOCs
IOC signifie Indicateur de Compromission. Un IOC est un ensemble de conditions qui identifient un logiciel potentiellement indésirable ou un malware confirmé. Les équipes Blue utilisent ce type de définition pour rechercher ce genre de fichiers malveillants dans leurs systèmes et réseaux.
Partager ces définitions est très utile car lorsqu'un malware est identifié sur un ordinateur et qu'un IOC pour ce malware est créé, d'autres équipes Blue peuvent l'utiliser pour identifier le malware plus rapidement.
Un outil pour créer ou modifier des IOCs est IOC Editor.
Vous pouvez utiliser des outils tels que Redline pour rechercher des IOCs définis dans un appareil.
Loki
Loki est un scanner pour les Indicateurs Simples de Compromission.
La détection est basée sur quatre méthodes de détection :
1. File Name IOC
Regex match on full file path/name
2. Yara Rule Check
Yara signature matches on file data and process memory
3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
Linux Malware Detect
Linux Malware Detect (LMD) est un scanner de malware pour Linux publié sous la licence GNU GPLv2, conçu pour les menaces rencontrées dans les environnements d'hébergement partagé. Il utilise les données de menaces issues des systèmes de détection d'intrusion en périphérie de réseau pour extraire les malwares activement utilisés dans les attaques et génère des signatures pour la détection. De plus, les données de menaces proviennent également des soumissions des utilisateurs avec la fonctionnalité de vérification LMD et des ressources de la communauté de malwares.
rkhunter
Des outils comme rkhunter peuvent être utilisés pour vérifier le système de fichiers à la recherche de rootkits et de malwares potentiels.
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
FLOSS
FLOSS est un outil qui tente de trouver des chaînes de caractères obfusquées dans les exécutables en utilisant différentes techniques.
PEpper
PEpper vérifie certaines informations de base dans l'exécutable (données binaires, entropie, URLs et IPs, quelques règles yara).
PEstudio
PEstudio est un outil qui permet d'obtenir des informations sur les exécutables Windows telles que les imports, exports, en-têtes, mais vérifie également virus total et trouve des techniques potentielles Att&ck.
Detect It Easy(DiE)
DiE est un outil pour détecter si un fichier est chiffré et également trouver des packers.
NeoPI
NeoPI est un script Python qui utilise une variété de méthodes statistiques pour détecter le contenu obfusqué et chiffré dans les fichiers de texte/scripts. L'objectif de NeoPI est d'aider à la détection de code de web shell caché.
php-malware-finder
PHP-malware-finder fait de son mieux pour détecter le code obfusqué/douteux ainsi que les fichiers utilisant des fonctions PHP souvent utilisées dans les malwares/webshells.
Signatures Binaires Apple
Lors de l'analyse d'un échantillon de malware, vous devriez toujours vérifier la signature du binaire car le développeur qui l'a signé peut déjà être associé à des malwares.
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app
#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app
Techniques de détection
Empilement de fichiers
Si vous savez qu'un dossier contenant les fichiers d'un serveur web a été mis à jour pour la dernière fois à une certaine date. Vérifiez la date à laquelle tous les fichiers du serveur web ont été créés et modifiés et si une date est suspecte, examinez ce fichier.
Lignes de base
Si les fichiers d'un dossier n'auraient pas dû être modifiés, vous pouvez calculer le hash des fichiers originaux du dossier et les comparer avec les actuels. Tout ce qui a été modifié sera suspect.
Analyse statistique
Lorsque les informations sont enregistrées dans des logs, vous pouvez vérifier des statistiques telles que le nombre de fois que chaque fichier d'un serveur web a été accédé, car un web shell pourrait être l'un des plus.
Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres moyens de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le merchandising officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de hacking en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.