La caccia a virus e malware richiede più della semplice analisi statica o dinamica. Di solito una combinazione di diverse tecniche come l'ingegneria statica, dinamica e il reverse engineering per rivelare la natura di un programma o di un codice binario.
In questo post abbiamo trattato una semplice analisi statica utilizzando i comandi Linux e poi VirusTotal per rivelare se il file è virus o meno.
Le regole Yara sono un modo per scovare i malware utilizzando indicatori di compromissione come indirizzo IP, hash, nome di dominio, ecc.
Creare regole Yara è facile come creare un file con estensione .yar e seguire la formula generale di un file di regole.
Le regole Yara sono ampiamente utilizzate nel settore per gli scopi sopra menzionati. Esistono vari repository open source di regole Yara condivisi da diverse organizzazioni e persone che possono essere sfruttati dalla comunità della sicurezza nella lotta contro il malware. Questo GitHub repository contiene collegamenti a molti di questi repository open source.
In questo post, abbiamo analizzato un file di test del virus EICAR con VirusTotal e utilizzato le regole Yara per cercare e abbinare le stringhe del virus. In questo video è stato utilizzato materiale di laboratorio da TryHackMe L'avvento di Cyber 3 Giorno 20 e 21.
Ottieni le note sul certificato OSCP
Scarica il materiale didattico in PDF
Risposte alle attività del giorno 20 e del giorno 21
Apri il terminale e vai al file sul desktop denominato "testfile". Utilizzando il comando 'strings', controlla le stringhe nel file. C'è solo una singola riga di output per il comando 'strings'. Qual è il risultato?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-FILE-TEST-ANTIVIRUS-STANDARD!$H+H*
Controllare il tipo di file "testfile" utilizzando il comando "file". Qual è il tipo di file?
File di test dei virus EICAR
Calcola l'hash del file e cercalo su VirusTotal. Quando è stato visto per la prima volta il file in natura?
2005-10-17 22:03:48
Nella scheda Rilevamento di VirusTotal, qual è la classificazione assegnata al file da Microsoft?
Virus:DOS/EICAR_Test_File
Vai a questo collegamento per saperne di più su questo file e su cosa viene utilizzato. Quali erano i primi due nomi di questo file?
ducklin.htm o ducklin-html.htm
Il file ha 68 caratteri all'inizio conosciuti come stringa conosciuta. Può essere aggiunto con caratteri di spazio bianco fino a un numero limitato di caratteri. Qual è il numero massimo di caratteri totali che possono essere presenti nel file?
128
Abbiamo cambiato il testo nella stringa $a come mostrato nella regola eicaryara che abbiamo scritto, da X5O a X50, cioè abbiamo sostituito la lettera O con il numero 0. La condizione per la regola Yara è $a e $b e $c e $d. Se dobbiamo apportare una modifica solo al primo operatore booleano in questa condizione, con quale operatore booleano dovremmo sostituire la "e" affinché la regola continui a colpire il file?
O
Quale opzione viene utilizzata nel comando Yara per elencare i metadati delle regole che colpiscono un file?
-M
Quale sezione contiene informazioni sull'autore della regola Yara?
metadati
Quale opzione viene utilizzata per stampare solo le regole che non hanno avuto successo?
-N
Modificare il valore della regola Yara per la stringa $a su X50. Esegui nuovamente il comando, ma questa volta con l'opzione -c. Qual'è il risultato?
0
Videoguida
