Premessa

In questa procedura video dettagliata abbiamo illustrato le nozioni di base sulla corrispondenza dei modelli di file Yara per analizzare i malware in base agli indicatori di compromissione.

Descrizione della sfida

In questa stanza ti aspetterai di comprendere le nozioni di base di Linux, come l'installazione di software e comandi per la navigazione generale del sistema. Inoltre, questa stanza non è progettata per testare le tue conoscenze o per ottenere punti. È qui per incoraggiarti a proseguire e a sperimentare ciò che hai imparato qui.

Come sempre, spero che porterete via alcune cose da questa stanza, vale a dire la meraviglia che Yara (Ancora un altro acronimo ridicolo) è ed è importante oggi nella sicurezza informatica. Yara è stato sviluppato da Victor M. Alvarez (@plusvic) E @VirusTotal. Controlla il repository GitHub Qui.

Ottieni le note del Blue Team

Compiti di sfida

Qual è il nome del sistema di numerazione in base 16 che Yara è in grado di rilevare?

Il testo "Inserisci il tuo nome" sarebbe una stringa in un'applicazione? (Sì/No)

Scansione file 1. Loki rileva questo file come sospetto/dannoso o benigno?

A quale regola Yara corrispondeva?

Come classifica Loki questo file?

In base all'output, a quale stringa all'interno della regola Yara corrispondeva?

Qual è il nome e la versione di questo strumento di hacking?

Esamina il file Yara effettivo che ha contrassegnato il file 1. All'interno di questa regola, quante stringhe ci sono per contrassegnare questo file?

Scansione file 2. Loki rileva questo file come sospetto/dannoso o benigno?

Esamina il file 2. Qual è il nome e la versione di questa web shell?

Dalla radice della directory dei file sospetti, quale comando eseguiresti per testare Yara e la tua regola Yara rispetto al file 2?

Yara ha governato il file flag 2? (Sì/No)

Copia la regola Yara che hai creato nella directory delle firme di Loki.

Prova la regola Yara con Loki, contrassegna il file 2? (Sì/No)

Qual è il nome della variabile per la stringa su cui è stata trovata la corrispondenza?

Ispeziona la regola Yara, quante stringhe sono state generate?

Una delle condizioni da soddisfare nella regola Yara specifica la dimensione del file. Il file deve essere inferiore a quale importo?

Inserisci l'hash SHA256 del file 1 in Valhalla. Questo file è attribuito a un gruppo APT? (Sì/No)

Fai lo stesso per il file 2. Qual è il nome della prima regola Yara per rilevare il file 2?

Esaminare le informazioni per il file 2 da Virus Total (VT). Da quale scanner proviene Yara Signature Match?

Inserisci l'hash SHA256 del file 2 in Virus Total. Ogni AV lo ha rilevato come dannoso? (Sì/No)

Oltre a .PHP, quale altra estensione è registrata per questo file?

Tornando al Valhalla, controlla le informazioni per questa regola. In Statistiche, qual è stata la corrispondenza di regole più alta al mese negli ultimi 2 anni? (AAAA/M)

Quale libreria JavaScript viene utilizzata dal file 2?
Questa regola Yara è nel file Yara predefinito che Loki utilizza per rilevare questo tipo di strumenti di hacking? (Sì/No)

Videoprocedura dettagliata

 

, ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli