9.2 KiB
Malware Analise
{% hint style="success" %}
Leer & oefen AWS Hack:HackTricks Opleiding AWS Red Team Expert (ARTE)
Leer & oefen GCP Hack: HackTricks Opleiding GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kontroleer die inskrywingsplanne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.
Forensiese Spiekblaaie
https://www.jaiminton.com/cheatsheet/DFIR/#
Aanlyn Dienste
Aflyn Antivirus en Opmerking Gereedskap
Yara
Installeer
sudo apt-get install -y yara
Maak reëls gereed
Gebruik hierdie skrip om al die yara-malware-reëls vanaf github af te laai en saam te voeg: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
Skep die reëls gids en voer dit uit. Dit sal 'n lêer genaamd malware_rules.yar skep wat al die yara-reëls vir malware bevat.
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
Deurskou
yara -w malware_rules.yar image #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
YaraGen: Kontroleer vir malware en Skep reëls
Jy kan die instrument YaraGen gebruik om yara-reëls vanaf 'n binêre lêer te genereer. Kyk na hierdie tutoriale: Deel 1, Deel 2, Deel 3
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m ../../mals/
ClamAV
Installeer
sudo apt-get install -y clamav
Deurskou
sudo freshclam #Update rules
clamscan filepath #Scan 1 file
clamscan folderpath #Scan the whole folder
Capa
Capa ontdek potensieel skadelike vermoëns in uitvoerbare lêers: PE, ELF, .NET. Dit sal dinge soos Att&ck-taktieke vind, of verdagte vermoëns soos:
- kontroleer vir OutputDebugString-fout
- hardloop as 'n diens
- skep proses
Kry dit in die Github-opberging.
IOCs
IOC beteken Indicator Of Compromise. 'N IOC is 'n stel toestande wat sommige potensieel ongewenste sagteware of bevestigde malware identifiseer. Blou-spanne gebruik hierdie soort definisie om te soek na hierdie soort skadelike lêers in hul stelsels en netwerke.
Dit is baie nuttig om hierdie definisies te deel, want as malware geïdentifiseer word in 'n rekenaar en 'n IOC vir daardie malware geskep word, kan ander Blou-spanne dit gebruik om die malware vinniger te identifiseer.
'n Gereedskap om IOCs te skep of te wysig is IOC Editor.
Jy kan gereedskappe soos Redline gebruik om te soek na gedefinieerde IOCs in 'n toestel.
Loki
Loki is 'n skandeerder vir Eenvoudige Indicators of Compromise.
Deteksie is gebaseer op vier deteksie-metodes:
1. File Name IOC
Regex match on full file path/name
2. Yara Rule Check
Yara signature matches on file data and process memory
3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
Linux Malware Detect
Linux Malware Detect (LMD) is 'n kwaadaardige skandeerder vir Linux wat vrygestel is onder die GNU GPLv2 lisensie, wat ontwerp is rondom die bedreigings wat in gedeelde gehuisvese omgewings ondervind word. Dit maak gebruik van bedreigingsdata van netwerkrandindringingsdeteksiesisteme om kwaadaardige sagteware te onttrek wat aktief in aanvalle gebruik word en handtekeninge vir opsporing genereer. Daarbenewens word bedreigingsdata ook afgelei van gebruikersinsendings met die LMD-uitkloei-funksie en kwaadaardige gemeenskapsbronne.
rkhunter
Gereedskap soos rkhunter kan gebruik word om die lêersisteem vir moontlike rootkits en kwaadaardige sagteware te kontroleer.
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
FLOSS
FLOSS is 'n instrument wat sal probeer om versluierde strings binne uitvoerbare lêers te vind deur verskillende tegnieke te gebruik.
PEpper
PEpper toets 'n paar basiese dinge binne die uitvoerbare lêer (binêre data, entropie, URL's en IP's, 'n paar yara-reëls).
PEstudio
PEstudio is 'n instrument wat toelaat om inligting van Windows-uitvoerbare lêers te kry soos invoer, uitvoer, koppe, maar sal ook virus totaal nagaan en potensiële Aanval-tegnieke vind.
Detect It Easy(DiE)
DiE is 'n instrument om te bepaal of 'n lêer versleutel is en ook pakkers te vind.
NeoPI
NeoPI is 'n Python-skrip wat 'n verskeidenheid van statistiese metodes gebruik om versluierde en versleutelde inhoud binne teks/skripslêers te vind. Die bedoelde doel van NeoPI is om te help met die opsporing van verskuilde webshell-kode.
php-malware-finder
PHP-malware-finder doen sy uiterste om versluierde/dubbelsinnige kode asook lêers wat PHP-funksies gebruik wat dikwels in malware/webshells gebruik word, te vind.
Apple Binêre Handtekeninge
Wanneer jy 'n paar malware monsters toets, moet jy altyd die handtekening van die binêre lêer nagaan, aangesien die ontwikkelaar wat dit onderteken het, moontlik alreeds met malware verband hou.
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app
#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app
Opsoek Tegnieke
Lêer Stapeling
As jy weet dat 'n sekere vouer wat die lêers van 'n webbediener bevat, laas op 'n sekere datum opgedateer is. Kontroleer die datum van alle lêers in die webbediener wat geskep en gewysig is en as enige datum verdag voorkom, kontroleer daardie lêer.
Baselines
As die lêers van 'n vouer nie behoort te wees gewysig nie, kan jy die hassie van die oorspronklike lêers van die vouer bereken en hulle vergelyk met die huidige een. Enige iets wat gewysig is, sal verdag voorkom.
Statistiese Analise
Wanneer die inligting in logboeke gestoor word, kan jy statistieke soos hoeveel keer elke lêer van 'n webbediener benader is, nagaan aangesien 'n webshell een van die mees kan wees.
{% hint style="success" %}
Leer & oefen AWS Hack:HackTricks Opleiding AWS Red Team Expert (ARTE)
Leer & oefen GCP Hack: HackTricks Opleiding GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kontroleer die inskrywingsplanne!
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.