La búsqueda de virus y malware requiere más que un simple análisis estático o dinámico. Generalmente es una combinación de diferentes técnicas como ingeniería estática, dinámica e inversa para revelar la naturaleza de un programa o código binario.
En esta publicación, cubrimos un análisis estático simple usando comandos de Linux y luego VirusTotal para revelar si el archivo es virus o no.
Las reglas de Yara son una forma de buscar malware utilizando indicadores de compromiso como dirección IP, hash, nombre de dominio, etc.
Crear reglas de Yara es tan fácil como crear un archivo con extensión .yar y seguir la fórmula general de un archivo de reglas.
Las reglas de Yara se utilizan ampliamente en la industria para los fines mencionados anteriormente. Existen varios repositorios de código abierto de reglas de Yara compartidos por diferentes organizaciones y personas que la comunidad de seguridad puede aprovechar en su lucha contra el malware. Este GitHub El repositorio contiene enlaces a muchos de estos repositorios de código abierto.
En esta publicación, analizamos un archivo de prueba de virus EICAR con VirusTotal y utilizamos reglas de Yara para buscar y unir cadenas del virus. Este vídeo utilizó material de laboratorio de TryHackMe Advenimiento de Cyber 3 Día 20 y 21.
Obtenga notas del certificado OSCP
Descargar material de aprendizaje en PDF
Respuestas a las tareas de los días 20 y 21
Abra la terminal y navegue hasta el archivo en el escritorio llamado 'testfile'. Usando el comando 'cadenas', verifique las cadenas en el archivo. Solo hay una línea de salida para el comando 'cadenas'. ¿Cuál es la salida?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-ESTÁNDAR-ANTIVIRUS-PRUEBA-ARCHIVO!$H+H*
Verifique el tipo de archivo de 'testfile' usando el comando 'file'. ¿Cuál es el tipo de archivo?
Archivos de prueba de virus EICAR
Calcule el hash del archivo y búsquelo en VirusTotal. ¿Cuándo se vio por primera vez el archivo en estado salvaje?
2005-10-17 22:03:48
En la pestaña de detección de VirusTotal, ¿cuál es la clasificación asignada al archivo por parte de Microsoft?
Virus:DOS/EICAR_Test_File
Vaya a este enlace para obtener más información sobre este archivo y para qué se utiliza. ¿Cuáles fueron los dos primeros nombres de este archivo?
ducklin.htm o ducklin-html.htm
El archivo tiene 68 caracteres al principio, lo que se conoce como cadena conocida. Se le pueden agregar espacios en blanco hasta un número limitado de caracteres. ¿Cuál es el número máximo de caracteres totales que puede haber en el archivo?
128
Cambiamos el texto en la cadena $a como se muestra en la regla eicaryara que escribimos, de X5O a X50, es decir, reemplazamos la letra O con el número 0. La condición para la regla Yara es $a y $b y $c y $d. Si solo vamos a hacer un cambio en el primer operador booleano en esta condición, ¿con qué operador booleano reemplazaremos el 'y' para que la regla siga afectando al archivo?
o
¿Qué opción se utiliza en el comando Yara para enumerar los metadatos de las reglas que afectan a un archivo?
-metro
¿Qué sección contiene información sobre el autor de la regla de Yara?
metadatos
¿Qué opción se utiliza para imprimir solo las reglas que no acertaron?
-norte
Cambie el valor de la regla Yara para la cadena $a a X50. Vuelva a ejecutar el comando, pero esta vez con la opción -c. Cual es el resultado?
0
Tutorial en vídeo
