Prémisse

Dans cette présentation vidéo, nous avons couvert les bases de la correspondance de modèles de fichiers Yara pour analyser les logiciels malveillants en fonction d'indicateurs de compromission.

Description du défi

Cette salle attend de vous que vous compreniez les connaissances de base de Linux, telles que l'installation de logiciels et de commandes pour la navigation générale du système. De plus, cette salle n'est pas conçue pour tester vos connaissances ou pour marquer des points. Il est là pour vous encourager à suivre et à expérimenter ce que vous avez appris ici.

Comme toujours, j'espère que vous retiendrez quelques choses de cette pièce, à savoir la merveille que Yara (Encore un autre acronyme ridicule) est et c'est important dans la sécurité de l'information aujourd'hui. Yara a été développé par Victor M. Alvarez (@plusvic) et @VirusTotal. Vérifiez le dépôt GitHub ici.

Obtenez les notes de l'équipe bleue

Tâches de défi

Quel est le nom du système de numérotation en base 16 que Yara peut détecter ?

Le texte « Entrez votre nom » serait-il une chaîne dans une application ? (Ouais/Non)

Analyser le fichier 1. Loki détecte-t-il ce fichier comme suspect/malveillant ou inoffensif ?

À quelle règle Yara correspondait-il ?

Comment Loki classe-t-il ce fichier ?

D'après le résultat, sur quelle chaîne de la règle Yara correspond-elle ?

Quel est le nom et la version de cet outil de hack ?

Inspectez le fichier Yara qui a marqué le fichier 1. Dans le cadre de cette règle, combien de chaînes y a-t-il pour signaler ce fichier ?

Analyser le fichier 2. Loki détecte-t-il ce fichier comme suspect/malveillant ou inoffensif ?

Inspecter le fichier 2. Quel est le nom et la version de ce shell Web ?

À partir de la racine du répertoire des fichiers suspects, quelle commande exécuteriez-vous pour tester Yara et votre règle Yara par rapport au fichier 2 ?

La règle Yara a-t-elle signalé le fichier 2 ? (Ouais/Non)

Copiez la règle Yara que vous avez créée dans le répertoire des signatures Loki.

Testez la règle Yara avec Loki, est-ce qu'elle signale le fichier 2 ? (Ouais/Non)

Quel est le nom de la variable pour la chaîne sur laquelle elle correspond ?

Inspectez la règle Yara, combien de chaînes ont été générées ?

L'une des conditions à respecter dans la règle Yara spécifie la taille du fichier. Le dossier doit être inférieur à quel montant ?

Entrez le hachage SHA256 du fichier 1 dans Valhalla. Ce fichier est-il attribué à un groupe APT ? (Ouais/Non)

Faites de même pour le fichier 2. Quel est le nom de la première règle Yara à détecter le fichier 2 ?

Examinez les informations du fichier 2 de Virus Total (VT). Le Yara Signature Match provient de quel scanner ?

Entrez le hachage SHA256 du fichier 2 dans Virus Total. Est-ce que chaque antivirus a détecté cela comme malveillant ? (Ouais/Non)

Outre .PHP, quelle autre extension est enregistrée pour ce fichier ?

De retour à Valhalla, inspectez les informations pour cette règle. Sous Statistiques, quelle a été la correspondance de règle la plus élevée par mois au cours des 2 dernières années ? (AAAA/M)

Quelle bibliothèque JavaScript est utilisée par le fichier 2 ?
Cette règle Yara est-elle dans le fichier Yara par défaut que Loki utilise pour détecter ce type d'outils de piratage ? (Ouais/Non)

Vidéo pas à pas

 

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles