Premisa
En este video tutorial, cubrimos los conceptos básicos de la comparación de patrones de archivos de Yara para analizar malware en función de indicadores de compromiso.
Descripción del desafío
En esta sala se esperará que comprenda los conocimientos básicos de Linux, como la instalación de software y comandos para la navegación general del sistema. Más aún, esta sala no está diseñada para poner a prueba tus conocimientos ni para ganar puntos. Está aquí para animarte a seguir y experimentar con lo que has aprendido aquí.
Como siempre, espero que te lleves algunas cosas de esta sala, a saber, la maravilla de que Yara (Otro acrónimo ridículo más) es y es importante en la seguridad de la información hoy en día. Yara fue desarrollado por Víctor M. Álvarez (@plusvic) y @VirusTotal. Consulta el repositorio de GitHub aquí.
Tareas de desafío
Respuestas
¿El texto “Ingrese su nombre” sería una cadena en una aplicación? (Sí/No)
¿Con qué regla de Yara coincidía?
¿Cómo clasifica Loki este archivo?
Según el resultado, ¿con qué cadena dentro de la regla de Yara coincidió?
¿Cuál es el nombre y la versión de esta herramienta de hackeo?
Inspeccione el archivo Yara real que marcó el archivo 1. Dentro de esta regla, ¿cuántas cadenas hay para marcar este archivo?
Escanear el archivo 2. ¿Loki detecta este archivo como sospechoso/malicioso o benigno?
Inspeccionar el archivo 2. ¿Cuál es el nombre y la versión de este shell web?
¿Yara gobernó el archivo de bandera 2? (Sí/No)
Copie la regla de Yara que creó en el directorio de firmas de Loki.
Pruebe la regla de Yara con Loki, ¿marca el archivo 2? (Sí/No)
¿Cuál es el nombre de la variable de la cadena con la que coincidió?
Inspeccione la regla de Yara, ¿cuántas cadenas se generaron?
Una de las condiciones para que coincida con la regla de Yara especifica el tamaño del archivo. ¿El archivo tiene que ser menor de qué cantidad?
Haga lo mismo con el archivo 2. ¿Cuál es el nombre de la primera regla de Yara para detectar el archivo 2?
Examine la información del archivo 2 de Virus Total (VT). ¿De qué escáner es Yara Signature Match?
Ingrese el hash SHA256 del archivo 2 en Virus Total. ¿Todos los AV detectaron esto como malicioso? (Sí/No)
Además de .PHP, ¿qué otra extensión está registrada para este archivo?
De regreso a Valhalla, inspecciona la información de esta regla. En Estadísticas, ¿cuál fue la mayor coincidencia de reglas por mes en los últimos 2 años? (AAAA/M)
Tutorial en vídeo