Помещение

В этом пошаговом видео мы рассмотрели основы сопоставления шаблонов файлов Yara для анализа вредоносных программ на основе индикаторов компрометации.

Описание задачи

В этом зале от вас ожидают базовых знаний Linux, таких как установка программного обеспечения и команд для общей навигации по системе. Более того, эта комната не предназначена для проверки ваших знаний или подсчета баллов. Цель этой книги – побудить вас следовать инструкциям и экспериментировать с тем, что вы здесь узнали.

Как всегда, я надеюсь, что вы унесете из этой комнаты кое-что, а именно то чудо, что Яра (Еще одна нелепая аббревиатура) имеет важное значение в информационной безопасности сегодня. Yara была разработана Виктором М. Альваресом (@plusvic) и @VirusTotal. Проверьте репозиторий GitHub здесь.

Получите заметки синей команды

Задачи вызова

Как называется система счисления с основанием 16, которую может обнаружить Yara?

Будет ли текст «Введите свое имя» строкой в приложении? (Да/Нет)

Сканировать файл 1. Считает ли Loki этот файл подозрительным/вредоносным или безопасным?

Какому правилу Yara оно соответствует?

Как Локи классифицирует этот файл?

Судя по полученным данным, какая строка в правиле Yara соответствует?

Как называется и версия этого инструмента для взлома?

Проверьте фактический файл Yara, пометивший файл 1. Сколько строк в этом правиле содержит пометка для этого файла?

Сканировать файл 2. Считает ли Loki этот файл подозрительным/вредоносным или безопасным?

Проверьте файл 2. Каково имя и версия этой веб-оболочки?

Какую команду вы бы выполнили в корне каталога подозрительных файлов, чтобы проверить Yara и ваше правило Yara для файла 2?

Правильный ли Yara файл флага 2? (Да/Нет)

Скопируйте созданное вами правило Yara в каталог подписей Loki.

Проверьте правило Yara с Локи, оно помечает файл 2? (Да/Нет)

Как называется переменная для строки, которой она соответствует?

Проверьте правило Yara, сколько строк было сгенерировано?

Одним из условий соответствия правилу Yara является размер файла. Файл должен быть меньше какой суммы?

Введите хеш SHA256 файла 1 в Valhalla. Относится ли этот файл к группе APT? (Да/Нет)

Сделайте то же самое для файла 2. Как называется первое правило Yara, обнаружившее файл 2?

Изучите информацию о файле 2 из Virus Total (VT). Yara Signature Match от какого сканера?

Введите хэш SHA256 файла 2 в Virus Total. Все ли антивирусы сочли это вредоносным? (Да/Нет)

Какое еще расширение записано для этого файла, кроме .PHP?

Вернитесь в Валгаллу и проверьте информацию об этом правиле. В разделе «Статистика» каков был самый высокий показатель совпадений правил в месяц за последние 2 года? (ГГГГ/М)

Какая библиотека JavaScript используется в файле 2?
Это правило Yara содержится в файле Yara по умолчанию, который Локи использует для обнаружения подобных хакерских инструментов? (Да/Нет)

Видео прохождение

 

об авторе

Инструктор по кибербезопасности и пловец

Посмотреть статьи