فرضية
في هذا الفيديو التفصيلي، قمنا بتغطية أساسيات مطابقة نمط ملف Yara لتحليل البرامج الضارة بناءً على مؤشرات الاختراق.
وصف التحدي
ستتوقع منك هذه الغرفة فهم المعرفة الأساسية بنظام Linux، مثل تثبيت البرامج والأوامر للتنقل العام في النظام. موريسو، هذه الغرفة ليست مصممة لاختبار معرفتك أو لتسجيل النقاط. إنه هنا لتشجيعك على المتابعة وتجربة ما تعلمته هنا.
كما هو الحال دائما، أتمنى أن تأخذ بعض الأشياء من هذه الغرفة، وهي العجب الذي لدى يارا (اختصار مثير للسخرية آخر) وهي ذات أهمية في مجال أمن المعلومات اليوم. تم تطوير يارا بواسطة فيكتور إم ألفاريز (@plusvic) و @VirusTotal. تحقق من جيثب الريبو هنا.
احصل على ملاحظات الفريق الأزرق
مهام التحدي
الإجابات
هل سيكون النص "أدخل اسمك" عبارة عن سلسلة في التطبيق؟ (ياي/لاي)
ما هي قاعدة يارا التي تطابقت عليها؟
ماذا يصنف Loki هذا الملف؟
بناءً على المخرجات، ما هي السلسلة الموجودة في قاعدة Yara التي تطابقت عليها؟
ما هو اسم وإصدار أداة الاختراق هذه؟
افحص ملف Yara الفعلي الذي وضع علامة على الملف 1. ضمن هذه القاعدة، كم عدد السلاسل الموجودة لوضع علامة على هذا الملف؟
مسح الملف 2. هل يكتشف Loki هذا الملف باعتباره مشبوهًا/ضارًا أو حميدًا؟
فحص الملف 2. ما هو اسم وإصدار قشرة الويب هذه؟
هل حكمت يارا ملف العلم 2؟ (ياي/لاي)
انسخ قاعدة Yara التي قمت بإنشائها في دليل توقيعات Loki.
اختبر قاعدة Yara مع Loki، هل تشير إلى الملف 2؟ (ياي/لاي)
ما اسم المتغير للسلسلة التي طابقها؟
تحقق من قاعدة يارا، كم عدد السلاسل التي تم إنشاؤها؟
أحد الشروط الواجب توافرها في قاعدة Yara يحدد حجم الملف. الملف يجب أن يكون أقل من ما المبلغ؟
افعل نفس الشيء بالنسبة للملف 2. ما اسم قاعدة Yara الأولى للكشف عن الملف 2؟
قم بفحص المعلومات الخاصة بالملف 2 من Virus Total (VT). ماتش Yara Signature Match مأخوذ من أي ماسح ضوئي؟
أدخل تجزئة SHA256 للملف 2 في Virus Total. هل اكتشف كل AV هذا على أنه ضار؟ (ياي/لاي)
بالإضافة إلى .PHP، ما هو الامتداد الآخر المسجل لهذا الملف؟
ارجع إلى Valhalla، وافحص المعلومات الخاصة بهذه القاعدة. ضمن الإحصائيات، ما هي أعلى مطابقة للقواعد شهريًا في العامين الماضيين؟ (سسسس/م)
تجول الفيديو
