hacktricks/forensics/basic-forensic-methodology/malware-analysis.md

मैलवेयर विश्लेषण

☁️ हैकट्रिक्स क्लाउड ☁️ -🐦 ट्विटर 🐦 - 🎙️ ट्विच 🎙️ - 🎥 यूट्यूब 🎥

• क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को हैकट्रिक्स में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करने की आवश्यकता है? सदस्यता योजनाएं की जांच करें!
• The PEASS Family की खोज करें, हमारा विशेष NFT संग्रह
• आधिकारिक PEASS और HackTricks swag प्राप्त करें
• 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह में शामिल हों या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.
• अपने हैकिंग ट्रिक्स को हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो में PR जमा करके साझा करें।

फोरेंसिक्स चीटशीट्स

https://www.jaiminton.com/cheatsheet/DFIR/#

ऑनलाइन सेवाएं

• VirusTotal
• HybridAnalysis
• Koodous
• Intezer
• Any.Run

ऑफ़लाइन एंटीवायरस और पहचान उपकरण

Yara

स्थापित करें

sudo apt-get install -y yara

नियम तैयार करें

इस स्क्रिप्ट का उपयोग करके गिटहब से सभी यारा मैलवेयर नियमों को डाउनलोड और मर्ज करें: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
rules निर्देशिका बनाएं और इसे निष्पादित करें। इससे malware_rules.yar नामक एक फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे।

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py

स्कैन

The first step in malware analysis is to scan the suspicious file or program. This can be done using various tools and techniques to identify any malicious behavior or indicators of compromise (IOCs). The purpose of the scan is to gather information about the file, such as its file type, size, and any embedded code or scripts. It can also help identify any known malware signatures or patterns.

There are different types of scans that can be performed, including static analysis and dynamic analysis. Static analysis involves examining the file without executing it, looking for any suspicious or malicious characteristics. Dynamic analysis, on the other hand, involves running the file in a controlled environment to observe its behavior and interactions with the system.

During the scan, it is important to use up-to-date antivirus software and other security tools to detect any known malware. Additionally, manual analysis techniques can be used to identify any hidden or obfuscated code that may not be detected by automated tools.

Once the scan is complete, the findings should be documented and analyzed further to determine the nature and severity of the malware. This information will be useful in the subsequent steps of the malware analysis process.

मैलवेयर विश्लेषण में पहला कदम संदिग्ध फ़ाइल या प्रोग्राम को स्कैन करना होता है। इसे विभिन्न उपकरण और तकनीकों का उपयोग करके किया जा सकता है ताकि किसी भी खतरनाक व्यवहार या संकेतकों की पहचान की जा सके। स्कैन का उद्देश्य फ़ाइल के बारे में जानकारी इकट्ठा करना है, जैसे कि इसका फ़ाइल प्रकार, आकार, और किसी भी संबद्ध कोड या स्क्रिप्ट के बारे में। यह यह भी मदद कर सकता है कि किसी भी ज्ञात मैलवेयर सिग्नेचर या पैटर्न की पहचान की जाए।

स्कैन करने के विभिन्न प्रकार हो सकते हैं, जिनमें स्थिर विश्लेषण और गतिशील विश्लेषण शामिल हैं। स्थिर विश्लेषण में फ़ाइल को निष्पादित किए बिना जांचा जाता है, संदिग्ध या खतरनाक विशेषताओं की तलाश की जाती है। दूसरी ओर, गतिशील विश्लेषण में फ़ाइल को नियंत्रित पर्यावरण में चलाया जाता है ताकि इसके व्यवहार और सिस्टम के साथ इंटरैक्शन की जा सके।

स्कैन के दौरान, ज्ञात मैलवेयर की पहचान करने के लिए अद्यतित एंटीवायरस सॉफ़्टवेयर और अन्य सुरक्षा उपकरणों का उपयोग करना महत्वपूर्ण है। इसके अलावा, मैन्युअल विश्लेषण तकनीकों का उपयोग किया जा सकता है ताकि किसी भी छिपे हुए या अस्पष्ट कोड की पहचान की जा सके जो स्वचालित उपकरणों द्वारा पहचाना नहीं जा सकता है।

स्कैन पूरा होने के बाद, पाये गए नतीजों को दर्ज करना और आगे विश्लेषण करना महत्वपूर्ण है ताकि मैलवेयर की प्रकृति और गंभीरता का निर्धारण किया जा सके। यह जानकारी मैलवेयर विश्लेषण प्रक्रिया के आगामी कदमों में उपयोगी होगी।

<h4>स्कैन</h4>

<pre><code>
मैलवेयर विश्लेषण में पहला कदम संदिग्ध फ़ाइल या प्रोग्राम को स्कैन करना होता है। इसे विभिन्न उपकरण और तकनीकों का उपयोग करके किया जा सकता है ताकि किसी भी खतरनाक व्यवहार या संकेतकों की पहचान की जा सके। स्कैन का उद्देश्य फ़ाइल के बारे में जानकारी इकट्ठा करना है, जैसे कि इसका फ़ाइल प्रकार, आकार, और किसी भी संबद्ध कोड या स्क्रिप्ट के बारे में। यह यह भी मदद कर सकता है कि किसी भी ज्ञात मैलवेयर सिग्नेचर या पैटर्न की पहचान की जाए।
</code></pre>

<pre><code>
स्कैन करने के विभिन्न प्रकार हो सकते हैं, जिनमें स्थिर विश्लेषण और गतिशील विश्लेषण शामिल हैं। स्थिर विश्लेषण में फ़ाइल को निष्पादित किए बिना जांचा जाता है, संदिग्ध या खतरनाक विशेषताओं की तलाश की जाती है। दूसरी ओर, गतिशील विश्लेषण में फ़ाइल को नियंत्रित पर्यावरण में चलाया जाता है ताकि इसके व्यवहार और सिस्टम के साथ इंटरैक्शन की जा सके।
</code></pre>

<pre><code>
स्कैन के दौरान, ज्ञात मैलवेयर की पहचान करने के लिए अद्यतित एंटीवायरस सॉफ़्टवेयर और अन्य सुरक्षा उपकरणों का उपयोग करना महत्वपूर्ण है। इसके अलावा, मैन्युअल विश्लेषण तकनीकों का उपयोग किया जा सकता है ताकि किसी भी छिपे हुए या अस्पष्ट कोड की पहचान की जा सके जो स्वचालित उपकरणों द्वारा पहचाना नहीं जा सकता है।
</code></pre>

<pre><code>
स्कैन पूरा होने के बाद, पाये गए नतीजों को दर्ज करना और आगे विश्लेषण करना महत्वपूर्ण है ताकि मैलवेयर की प्रकृति और गंभीरता का निर्धारण किया जा सके। यह जानकारी मैलवेयर विश्लेषण प्रक्रिया के आगामी कदमों में उपयोगी होगी।
</code></pre>

yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder

YaraGen: मैलवेयर की जांच करें और नियम बनाएं

आप टूल YaraGen का उपयोग करके एक बाइनरी से यारा नियम बना सकते हैं। इन ट्यूटोरियल्स की जांच करें: पार्ट 1, पार्ट 2, पार्ट 3

python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/

ClamAV

स्थापित करें

sudo apt-get install -y clamav

स्कैन

The first step in malware analysis is to scan the suspicious file or program. This can be done using various antivirus tools or online scanning services. The purpose of the scan is to identify any known malware signatures or indicators of compromise (IOCs) present in the file. If the scan detects any malicious activity, further analysis is required.

मैलवेयर विश्लेषण में पहला कदम संदिग्ध फ़ाइल या प्रोग्राम को स्कैन करना होता है। इसे विभिन्न एंटीवायरस उपकरणों या ऑनलाइन स्कैनिंग सेवाओं का उपयोग करके किया जा सकता है। स्कैन का उद्देश्य फ़ाइल में मौजूद किसी भी ज्ञात मैलवेयर सिग्नेचर या संकेतकों की पहचान करना है। यदि स्कैन में कोई खतरनाक गतिविधि पाई जाती है, तो आगे की विश्लेषण की आवश्यकता होती है।

sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder

Capa

Capa पीई, ईएलएफ, .NET में कार्यान्वयन करने वाले एक्सीक्यूटेबल में संभावित खतरनाक क्षमताओं का पता लगाता है। इसलिए यह चीजें जैसे Att&ck युद्ध तंत्र, या संदिग्ध क्षमताओं की जांच करेगा जैसे:

• OutputDebugString त्रुटि की जांच करें
• सेवा के रूप में चलाएं
• प्रक्रिया बनाएं

इसे Github रेपो में प्राप्त करें।

IOC

IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट होता है जो कुछ संभावित अवांछित सॉफ़्टवेयर या पुष्टि किए गए मैलवेयर की पहचान करते हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने सिस्टम और नेटवर्क में इस प्रकार के खतरनाक फ़ाइलों की खोज करने के लिए करती है।
इन परिभाषाओं को साझा करना बहुत उपयोगी होता है क्योंकि जब कंप्यूटर में मैलवेयर पहचाना जाता है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम उसे उपयोग करके मैलवेयर की पहचान कर सकती है।

IOC बनाने या संशोधित करने के लिए एक उपकरण है IOC संपादक.
आप Redline जैसे उपकरण का उपयोग कर सकते हैं जो एक उपकरण में परिभाषित IOC की खोज करने के लिए किया जाता है।

Loki

Loki एक स्कैनर है जो सरल संकेतकों की पहचान पर आधारित है।
पहचान चार पहचान पद्धतियों पर आधारित है:

1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)

लिनक्स मैलवेयर डिटेक्ट

लिनक्स मैलवेयर डिटेक्ट (LMD) एक मैलवेयर स्कैनर है जो लिनक्स के लिए GNU GPLv2 लाइसेंस के तहत जारी किया गया है, जो साझा होस्ट किए जाने वाले वातावरण में होने वाले खतरों के आसपास डिज़ाइन किया गया है। यह हमलों में सक्रिय रूप से उपयोग होने वाले मैलवेयर को निकालने के लिए नेटवर्क एज इन्ट्रूजन डिटेक्शन सिस्टम से धारा डेटा का उपयोग करता है और पहचान के लिए संकेत बनाता है। इसके अलावा, धारा डेटा भी LMD चेकआउट सुविधा और मैलवेयर समुदाय संसाधनों के साथ उपयोगकर्ता सबमिशन से प्राप्त किया जाता है।

आरकेएचउंटर

आरकेएचउंटर जैसे टूल का उपयोग करके फ़ाइल सिस्टम को जांचा जा सकता है कि क्या संभावित रूटकिट्स और मैलवेयर हैं।

sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]

FLOSS

FLOSS एक टूल है जो विभिन्न तकनीकों का उपयोग करके कार्यक्रमों में छिपे हुए स्ट्रिंग को खोजने का प्रयास करेगा।

PEpper

PEpper कार्यक्रम (बाइनरी डेटा, एंट्रोपी, URL और IP, कुछ yara नियम) के अंदर कुछ मूलभूत चीजें जांचता है।

PEstudio

PEstudio एक टूल है जो विंडोज एक्जीक्यूटेबल्स की जानकारी प्राप्त करने की अनुमति देता है, जैसे कि इंपोर्ट, एक्सपोर्ट, हेडर, लेकिन यह वायरस टोटल की जांच भी करेगा और संभावित Att&ck तकनीकों को खोजेगा।

Detect It Easy(DiE)

DiE एक टूल है जो फ़ाइल के एन्क्रिप्टेड होने की पहचान करने के लिए और पैकर्स को खोजने के लिए उपयोग किया जाता है।

NeoPI

NeoPI एक Python स्क्रिप्ट है जो विभिन्न आंकड़ाशास्त्रीय विधियों का उपयोग करके पाठ/स्क्रिप्ट फ़ाइलों में छिपे हुए और एन्क्रिप्टेड सामग्री का पता लगाने के लिए उपयोग करता है। NeoPI का उद्देश्य छिपे हुए वेब शेल कोड की पहचान में सहायता करना है।

php-malware-finder

PHP-malware-finder अपनी सर्वोत्तम कोशिश करता है छिपे हुए/आपत्तिजनक कोड की पहचान करने के लिए और फ़ाइलों को खोजने के लिए जो अक्सर मैलवेयर/वेबशेल्स में उपयोग होती हैं।

Apple Binary Signatures

किसी भी मैलवेयर नमूने की जांच करते समय आपको हमेशा बाइनरी के सिग्नेचर की जांच करनी चाहिए क्योंकि उसे साइन करने वाला डेवलपर पहले से ही मैलवेयर से संबंधित हो सकता है।

#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

डिटेक्शन तकनीकें

फ़ाइल स्टैकिंग

यदि आप जानते हैं कि किसी वेब सर्वर के फ़ाइलों का कुछ फ़ोल्डर किसी तारीख को अपडेट किया गया था। जांचें कि वेब सर्वर की सभी फ़ाइलों को कब बनाया और संशोधित किया गया था और यदि कोई तारीख संदिग्ध है, तो उस फ़ाइल की जांच करें।

बेसलाइन्स

यदि किसी फ़ोल्डर की फ़ाइलें संशोधित नहीं होनी चाहिए, तो आप उस फ़ोल्डर की मूल फ़ाइलों का हैश निर्धारित कर सकते हैं और उन्हें वर्तमान फ़ाइलों के साथ तुलना कर सकते हैं। कोई भी संशोधित फ़ाइल संदिग्ध होगी।

सांख्यिकीय विश्लेषण

जब जानकारी लॉग में सहेजी जाती है, तो आप जांच सकते हैं कि वेब सर्वर की हर फ़ाइल को कितनी बार एक्सेस किया गया है क्योंकि एक वेब शेल सबसे अधिक हो सकता है।

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित करना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने की अनुमति चाहिए? SUBSCRIPTION PLANS की जांच करें!
• खोजें The PEASS Family, हमारा विशेष NFTs संग्रह
• प्राप्त करें official PEASS & HackTricks swag
• शामिल हों 💬 Discord समूह या टेलीग्राम समूह या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.
• अपने हैकिंग ट्रिक्स साझा करें और PRs सबमिट करें hacktricks repo और hacktricks-cloud repo को.