Prämisse

In dieser Videoanleitung haben wir die Grundlagen des Yara-Dateimusterabgleichs behandelt, um Malware auf der Grundlage von Kompromittierungsindikatoren zu analysieren.

Beschreibung der Herausforderung

In diesem Raum werden grundlegende Kenntnisse über Linux vorausgesetzt, beispielsweise die Installation von Software und Befehle zur allgemeinen Navigation im System. Darüber hinaus ist dieser Raum nicht dazu gedacht, Ihr Wissen zu testen oder Punkte zu sammeln. Er soll Sie dazu ermutigen, mitzumachen und mit dem zu experimentieren, was Sie hier gelernt haben.

Wie immer hoffe ich, dass Sie ein paar Dinge aus diesem Raum mitnehmen, nämlich das Wunder, dass Yara (Noch ein lächerliches Akronym) ist und wie wichtig es heute in der Informationssicherheit ist. Yara wurde von Victor M. Alvarez entwickelt (@plusvic) Und @VirusTotal. Überprüfen Sie das GitHub-Repository Hier.

Holen Sie sich Blue Team Notes

Herausforderungsaufgaben

Wie heißt das Zahlensystem mit der Basis 16, das Yara erkennen kann?

Wäre der Text „Geben Sie Ihren Namen ein“ eine Zeichenfolge in einer Anwendung? (Ja/Nein)

Datei 1 scannen. Erkennt Loki diese Datei als verdächtig/bösartig oder harmlos?

Mit welcher Yara-Regel stimmte es überein?

Als was klassifiziert Loki diese Datei?

Basierend auf der Ausgabe: Mit welcher Zeichenfolge innerhalb der Yara-Regel stimmte es überein?

Wie lauten Name und Version dieses Hacktools?

Untersuchen Sie die eigentliche Yara-Datei, die Datei 1 markiert hat. Wie viele Zeichenfolgen gibt es innerhalb dieser Regel, um diese Datei zu markieren?

Datei 2 scannen. Erkennt Loki diese Datei als verdächtig/bösartig oder harmlos?

Überprüfen Sie Datei 2. Wie lauten Name und Version dieser Web-Shell?

Welchen Befehl würden Sie aus dem Stammverzeichnis des Verzeichnisses für verdächtige Dateien ausführen, um Yara und Ihre Yara-Regel für Datei 2 zu testen?

Hat Yara die Flaggendatei 2 regiert? (Ja/Nein)

Kopieren Sie die von Ihnen erstellte Yara-Regel in das Loki-Signaturverzeichnis.

Testen Sie die Yara-Regel mit Loki. Markiert sie Datei 2? (Ja/Nein)

Wie lautet der Name der Variable für die Zeichenfolge, mit der sie übereinstimmt?

Überprüfen Sie die Yara-Regel. Wie viele Zeichenfolgen wurden generiert?

Eine der Bedingungen, die der Yara-Regel entsprechen müssen, gibt die Dateigröße an. Wie groß muss die Datei sein?

Geben Sie den SHA256-Hash von Datei 1 in Valhalla ein. Ist diese Datei einer APT-Gruppe zuzuordnen? (Yay/Nay)

Machen Sie dasselbe für Datei 2. Wie heißt die erste Yara-Regel zum Erkennen von Datei 2?

Untersuchen Sie die Informationen für Datei 2 von Virus Total (VT). Von welchem Scanner stammt die Yara-Signaturübereinstimmung?

Geben Sie den SHA256-Hash von Datei 2 in Virus Total ein. Hat jeder Antivirus dies als bösartig erkannt? (Ja/Nein)

Welche andere Erweiterung außer .PHP ist für diese Datei aufgezeichnet?

Zurück zu Valhalla, überprüfen Sie die Informationen zu dieser Regel. Unter „Statistiken“: Was war die höchste Regelübereinstimmung pro Monat in den letzten 2 Jahren? (JJJJ/M)

Welche JavaScript-Bibliothek wird von Datei 2 verwendet?
Befindet sich diese Yara-Regel in der Standard-Yara-Datei, die Loki zum Erkennen dieser Art von Hack-Tools verwendet? (Yay/Nay)

Video-Komplettlösung

 

Über den Autor

Cybersecurity-Trainer und Schwimmer

Artikel anzeigen