Prémisse
Dans cette présentation vidéo, nous avons couvert les bases de la correspondance de modèles de fichiers Yara pour analyser les logiciels malveillants en fonction d'indicateurs de compromission.
Description du défi
Cette salle attend de vous que vous compreniez les connaissances de base de Linux, telles que l'installation de logiciels et de commandes pour la navigation générale du système. De plus, cette salle n'est pas conçue pour tester vos connaissances ou pour marquer des points. Il est là pour vous encourager à suivre et à expérimenter ce que vous avez appris ici.
Comme toujours, j'espère que vous retiendrez quelques choses de cette pièce, à savoir la merveille que Yara (Encore un autre acronyme ridicule) est et c'est important dans la sécurité de l'information aujourd'hui. Yara a été développé par Victor M. Alvarez (@plusvic) et @VirusTotal. Vérifiez le dépôt GitHub ici.
Obtenez les notes de l'équipe bleue
Tâches de défi
Réponses
Le texte « Entrez votre nom » serait-il une chaîne dans une application ? (Ouais/Non)
À quelle règle Yara correspondait-il ?
Comment Loki classe-t-il ce fichier ?
D'après le résultat, sur quelle chaîne de la règle Yara correspond-elle ?
Quel est le nom et la version de cet outil de hack ?
Inspectez le fichier Yara qui a marqué le fichier 1. Dans le cadre de cette règle, combien de chaînes y a-t-il pour signaler ce fichier ?
Analyser le fichier 2. Loki détecte-t-il ce fichier comme suspect/malveillant ou inoffensif ?
Inspecter le fichier 2. Quel est le nom et la version de ce shell Web ?
La règle Yara a-t-elle signalé le fichier 2 ? (Ouais/Non)
Copiez la règle Yara que vous avez créée dans le répertoire des signatures Loki.
Testez la règle Yara avec Loki, est-ce qu'elle signale le fichier 2 ? (Ouais/Non)
Quel est le nom de la variable pour la chaîne sur laquelle elle correspond ?
Inspectez la règle Yara, combien de chaînes ont été générées ?
L'une des conditions à respecter dans la règle Yara spécifie la taille du fichier. Le dossier doit être inférieur à quel montant ?
Faites de même pour le fichier 2. Quel est le nom de la première règle Yara à détecter le fichier 2 ?
Examinez les informations du fichier 2 de Virus Total (VT). Le Yara Signature Match provient de quel scanner ?
Entrez le hachage SHA256 du fichier 2 dans Virus Total. Est-ce que chaque antivirus a détecté cela comme malveillant ? (Ouais/Non)
Outre .PHP, quelle autre extension est enregistrée pour ce fichier ?
De retour à Valhalla, inspectez les informations pour cette règle. Sous Statistiques, quelle a été la correspondance de règle la plus élevée par mois au cours des 2 dernières années ? (AAAA/M)
Vidéo pas à pas