Die Suche nach Viren und Malware erfordert mehr als nur eine statische oder dynamische Analyse. Normalerweise ist eine Kombination verschiedener Techniken wie statisches, dynamisches und Reverse Engineering erforderlich, um die Natur eines Programms oder Binärcodes aufzudecken.
In diesem Beitrag haben wir eine einfache statische Analyse mit Linux-Befehlen und anschließend VirusTotal behandelt, um festzustellen, ob es sich bei der Datei um einen Virus handelt oder nicht.
Yara-Regeln sind eine Möglichkeit, Schadsoftware anhand von Kompromittierungsindikatoren wie IP-Adresse, Hash, Domänenname usw. aufzuspüren.
Das Erstellen von Yara-Regeln ist so einfach wie das Erstellen einer Datei mit der Erweiterung .yar und das Befolgen der allgemeinen Formel einer Regeldatei.
Yara-Regeln werden in der Branche für die oben genannten Zwecke sehr häufig verwendet. Es gibt verschiedene Open-Source-Repositorys mit Yara-Regeln, die von verschiedenen Organisationen und Personen gemeinsam genutzt werden und von der Sicherheitsgemeinschaft im Kampf gegen Malware genutzt werden können. Dieses GitHub Das Repository enthält Links zu vielen solcher Open-Source-Repositories.
In diesem Beitrag haben wir eine EICAR-Virustestdatei mit VirusTotal analysiert und Yara-Regeln verwendet, um Zeichenfolgen aus dem Virus zu suchen und abzugleichen. In diesem Video wurde Labormaterial von TryHackMe Advent von Cyber 3 Tag 20 und 21.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Lernmaterial als PDF herunterladen
Antworten auf die Aufgaben von Tag 20 und Tag 21
Öffnen Sie das Terminal und navigieren Sie zu der Datei mit dem Namen „testfile“ auf dem Desktop. Überprüfen Sie mit dem Befehl „strings“ die Zeichenfolgen in der Datei. Der Befehl „strings“ hat nur eine einzige Ausgabezeile. Was ist die Ausgabe?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-DATEI!$H+H*
Überprüfen Sie den Dateityp von „Testdatei“ mit dem Befehl „Datei“. Was ist der Dateityp?
EICAR-Virentestdateien
Berechnen Sie den Hash der Datei und suchen Sie auf VirusTotal danach. Wann wurde die Datei zum ersten Mal in freier Wildbahn gesehen?
2005-10-17 22:03:48
Welche Klassifizierung wird der Datei von Microsoft auf der Registerkarte „Erkennung“ von VirusTotal zugewiesen?
Virus:DOS/EICAR_Test_File
Klicken Sie auf diesen Link, um mehr über diese Datei und ihren Verwendungszweck zu erfahren. Wie lauten die ersten beiden Namen dieser Datei?
ducklin.htm oder ducklin-html.htm
Die Datei hat am Anfang 68 Zeichen, die als bekannter String bezeichnet werden. Daran können Leerzeichen bis zu einer begrenzten Anzahl von Zeichen angehängt werden. Wie viele Zeichen kann die Datei maximal enthalten?
128
Wir haben den Text in der Zeichenfolge $a, wie in der von uns geschriebenen eicaryara-Regel gezeigt, von X5O in X50 geändert, d. h. wir haben den Buchstaben O durch die Zahl 0 ersetzt. Die Bedingung für die Yara-Regel lautet $a und $b und $c und $d. Wenn wir in dieser Bedingung nur den ersten Booleschen Operator ändern sollen, durch welchen Booleschen Operator müssen wir dann das „und“ ersetzen, damit die Regel die Datei trotzdem trifft?
oder
Welche Option wird im Yara-Befehl verwendet, um die Metadaten der Regeln aufzulisten, die einen Treffer für eine Datei darstellen?
-M
Welcher Abschnitt enthält Informationen über den Autor der Yara-Regel?
Metadaten
Welche Option wird verwendet, um nur Regeln auszudrucken, die nicht getroffen haben?
-N
Ändern Sie den Yara-Regelwert für die Zeichenfolge $a in X50. Führen Sie den Befehl erneut aus, diesmal jedoch mit der Option -c. Was ist das Ergebnis?
0
Video-Anleitung
