Premisa

En este video tutorial, cubrimos los conceptos básicos de la comparación de patrones de archivos de Yara para analizar malware en función de indicadores de compromiso.

Descripción del desafío

En esta sala se esperará que comprenda los conocimientos básicos de Linux, como la instalación de software y comandos para la navegación general del sistema. Más aún, esta sala no está diseñada para poner a prueba tus conocimientos ni para ganar puntos. Está aquí para animarte a seguir y experimentar con lo que has aprendido aquí.

Como siempre, espero que te lleves algunas cosas de esta sala, a saber, la maravilla de que Yara (Otro acrónimo ridículo más) es y es importante en la seguridad de la información hoy en día. Yara fue desarrollado por Víctor M. Álvarez (@plusvic) y @VirusTotal. Consulta el repositorio de GitHub aquí.

Obtenga notas del equipo azul

Tareas de desafío

¿Cómo se llama el sistema de numeración de base 16 que Yara puede detectar?

¿El texto “Ingrese su nombre” sería una cadena en una aplicación? (Sí/No)

Escanear archivo 1. ¿Loki detecta este archivo como sospechoso/malicioso o benigno?

¿Con qué regla de Yara coincidía?

¿Cómo clasifica Loki este archivo?

Según el resultado, ¿con qué cadena dentro de la regla de Yara coincidió?

¿Cuál es el nombre y la versión de esta herramienta de hackeo?

Inspeccione el archivo Yara real que marcó el archivo 1. Dentro de esta regla, ¿cuántas cadenas hay para marcar este archivo?

Escanear el archivo 2. ¿Loki detecta este archivo como sospechoso/malicioso o benigno?

Inspeccionar el archivo 2. ¿Cuál es el nombre y la versión de este shell web?

Desde la raíz del directorio de archivos sospechosos, ¿qué comando ejecutaría para probar Yara y su regla de Yara con el archivo 2?

¿Yara gobernó el archivo de bandera 2? (Sí/No)

Copie la regla de Yara que creó en el directorio de firmas de Loki.

Pruebe la regla de Yara con Loki, ¿marca el archivo 2? (Sí/No)

¿Cuál es el nombre de la variable de la cadena con la que coincidió?

Inspeccione la regla de Yara, ¿cuántas cadenas se generaron?

Una de las condiciones para que coincida con la regla de Yara especifica el tamaño del archivo. ¿El archivo tiene que ser menor de qué cantidad?

Ingrese el hash SHA256 del archivo 1 en Valhalla. ¿Este archivo se atribuye a un grupo APT? (Sí/No)

Haga lo mismo con el archivo 2. ¿Cuál es el nombre de la primera regla de Yara para detectar el archivo 2?

Examine la información del archivo 2 de Virus Total (VT). ¿De qué escáner es Yara Signature Match?

Ingrese el hash SHA256 del archivo 2 en Virus Total. ¿Todos los AV detectaron esto como malicioso? (Sí/No)

Además de .PHP, ¿qué otra extensión está registrada para este archivo?

De regreso a Valhalla, inspecciona la información de esta regla. En Estadísticas, ¿cuál fue la mayor coincidencia de reglas por mes en los últimos 2 años? (AAAA/M)

¿Qué biblioteca de JavaScript utiliza el archivo 2?
¿Está esta regla de Yara en el archivo Yara predeterminado que Loki usa para detectar este tipo de herramientas de pirateo? (Sí/No)

Tutorial en vídeo

 

Acerca del Autor

Instructor de Ciberseguridad y Nadador

Ver Artículos