La chasse aux virus et aux malwares nécessite plus qu'une simple analyse statique ou dynamique. Généralement une combinaison de différentes techniques telles que l'ingénierie statique, dynamique et inverse pour révéler la nature d'un programme ou d'un code binaire.
Dans cet article, nous avons couvert une analyse statique simple à l'aide de commandes Linux, puis de VirusTotal pour révéler si le fichier est un virus ou non.
Les règles Yara sont un moyen de traquer les malwares à l'aide d'indicateurs de compromission tels que l'adresse IP, le hachage, le nom de domaine, etc.
Créer des règles Yara est aussi simple que de créer un fichier avec l'extension .yar et de suivre la formule générale d'un fichier de règles.
Les règles Yara sont très largement utilisées dans l’industrie aux fins mentionnées ci-dessus. Il existe différents référentiels open source de règles Yara partagés par différentes organisations et personnes qui peuvent être exploités par la communauté de la sécurité dans sa lutte contre les logiciels malveillants. Ce GitHub Le référentiel contient des liens vers un grand nombre de ces référentiels open source.
Dans cet article, nous avons analysé un fichier de test de virus EICAR avec VirusTotal et utilisé les règles Yara pour rechercher et faire correspondre les chaînes du virus. Cette vidéo a utilisé du matériel de laboratoire de TryHackMe L'avènement de Cyber 3 Jours 20 et 21.
Obtenir les notes du certificat OSCP
Télécharger le matériel d'apprentissage en PDF
Réponses aux tâches des jours 20 et 21
Ouvrez le terminal et accédez au fichier sur le bureau nommé « testfile ». À l'aide de la commande 'strings', vérifiez les chaînes dans le fichier. Il n'y a qu'une seule ligne de sortie pour la commande 'strings'. Quel est le résultat ?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Vérifiez le type de fichier 'testfile' à l'aide de la commande 'file'. Quel est le type de fichier ?
Fichiers de test de virus EICAR
Calculez le hachage du fichier et recherchez-le sur VirusTotal. Quand le fichier a-t-il été vu pour la première fois dans la nature ?
2005-10-17 22:03:48
Dans l'onglet Détection de VirusTotal, quelle est la classification attribuée au fichier par Microsoft ?
Virus : DOS/EICAR_Test_Fichier
Accédez à ce lien pour en savoir plus sur ce fichier et à quoi il sert. Quels étaient les deux premiers noms de ce fichier ?
ducklin.htm ou ducklin-html.htm
Le fichier comporte 68 caractères au début, appelés chaîne connue. Il peut être ajouté avec des espaces jusqu'à un nombre limité de caractères. Quel est le nombre maximum de caractères au total pouvant figurer dans le fichier ?
128
Nous avons modifié le texte de la chaîne $a comme indiqué dans la règle eicaryara que nous avons écrite, de X5O à X50, c'est-à-dire que nous avons remplacé la lettre O par le chiffre 0. La condition pour la règle Yara est $a et $b et $c et $d. Si nous devons uniquement modifier le premier opérateur booléen dans cette condition, par quel opérateur booléen devons-nous remplacer le « et » par, pour que la règle continue d'atteindre le fichier ?
ou
Quelle option est utilisée dans la commande Yara pour lister les métadonnées des règles qui correspondent à un fichier ?
-m
Quelle section contient des informations sur l'auteur de la règle Yara ?
métadonnées
Quelle option est utilisée pour imprimer uniquement les règles qui n'ont pas été appliquées ?
-n
Remplacez la valeur de la règle Yara pour la chaîne $a par X50. Réexécutez la commande, mais cette fois avec l'option -c. Quel est le résultat?
0
Vidéo pas à pas
