Premessa
In questa procedura video dettagliata abbiamo illustrato le nozioni di base sulla corrispondenza dei modelli di file Yara per analizzare i malware in base agli indicatori di compromissione.
Descrizione della sfida
In questa stanza ti aspetterai di comprendere le nozioni di base di Linux, come l'installazione di software e comandi per la navigazione generale del sistema. Inoltre, questa stanza non è progettata per testare le tue conoscenze o per ottenere punti. È qui per incoraggiarti a proseguire e a sperimentare ciò che hai imparato qui.
Come sempre, spero che porterete via alcune cose da questa stanza, vale a dire la meraviglia che Yara (Ancora un altro acronimo ridicolo) è ed è importante oggi nella sicurezza informatica. Yara è stato sviluppato da Victor M. Alvarez (@plusvic) E @VirusTotal. Controlla il repository GitHub Qui.
Compiti di sfida
Risposte
Il testo "Inserisci il tuo nome" sarebbe una stringa in un'applicazione? (Sì/No)
A quale regola Yara corrispondeva?
Come classifica Loki questo file?
In base all'output, a quale stringa all'interno della regola Yara corrispondeva?
Qual è il nome e la versione di questo strumento di hacking?
Esamina il file Yara effettivo che ha contrassegnato il file 1. All'interno di questa regola, quante stringhe ci sono per contrassegnare questo file?
Scansione file 2. Loki rileva questo file come sospetto/dannoso o benigno?
Esamina il file 2. Qual è il nome e la versione di questa web shell?
Yara ha governato il file flag 2? (Sì/No)
Copia la regola Yara che hai creato nella directory delle firme di Loki.
Prova la regola Yara con Loki, contrassegna il file 2? (Sì/No)
Qual è il nome della variabile per la stringa su cui è stata trovata la corrispondenza?
Ispeziona la regola Yara, quante stringhe sono state generate?
Una delle condizioni da soddisfare nella regola Yara specifica la dimensione del file. Il file deve essere inferiore a quale importo?
Fai lo stesso per il file 2. Qual è il nome della prima regola Yara per rilevare il file 2?
Esaminare le informazioni per il file 2 da Virus Total (VT). Da quale scanner proviene Yara Signature Match?
Inserisci l'hash SHA256 del file 2 in Virus Total. Ogni AV lo ha rilevato come dannoso? (Sì/No)
Oltre a .PHP, quale altra estensione è registrata per questo file?
Tornando al Valhalla, controlla le informazioni per questa regola. In Statistiche, qual è stata la corrispondenza di regole più alta al mese negli ultimi 2 anni? (AAAA/M)
Videoprocedura dettagliata