yara

Locating EOCD in ZIP files by offset

梦想与她 提交于 2021-01-28 10:09:12
问题 I'm trying to write a collection of yara signatures that will tag zip files based on artifacts of their creation. I understand the EOCD has a magic number of 0x06054b50, and that it is located at the end of the archive structure. It has a variable length comment field, with a max length of 0xFFFF, so the EOCD could be up to 0xFFFF+ ~20 bytes. However, there could be data after the zip structure that could throw off the any offset dependent scanning. Is there any way to locate the record

一个CS马伪装下的loader样本分析

末鹿安然 提交于 2020-12-14 22:19:00
原文来自 SecIN社区 —作者:寅儿 0x01 开源情报收集 样本下载链接: https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/ 常用平台:VT,微步,哈勃 app.any.run, joesandbox 图一:VT检测 木马实锤 沙箱跑一下看一下行为: 图二:沙箱行为分析 可以看到用GET请求访问C&C服务器下载了一个二进制binary文件。 点开binary文件查看详情: 图三:恶意binary dump下来wireshark数据包,过滤http请求同样可以发现该二进制文件 图四:抓包分析 查询C&C服务器ip: 图五:ip检测 现在对该恶意软件已经有了初步了了解,下面进行数据包分析,看看能不能找到有用的信息。最直观的看到就是使用了非常见的端口连接,还有发现一个有趣的现象: 图六:数据包分析 竟然是肉鸡主动连接的C&C服务器,让我联想到了CS马。这种手法类似于反弹shell,好处就是可以绕过防火墙限制,如果对方是内网ip,你无法直接发起连接请求,方便持久化控制等等。 0x02 样本基本信息 用exeinfo查壳,标准的32位VC编译的程序 图七:样本信息 用Process Monitor监控行为 图八:软件行为 具体每一项的图略了,大概看了一下读取了注册表的某些键值,设置了某些键值对的值

勒索病毒分析

狂风中的少年 提交于 2020-11-30 23:23:12
​转载自CSDN-初识逆向大神 本文链接: https://blog.csdn.net/w_g3366/article/details/100590112 文章目录 勒索病毒分析报告 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 1.4 样本行为概述 2.具体行为分析 2.1 主要行为 2.2 提取恶意代码 2.3 恶意代码分析 3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家族:勒索病毒 大小: 327680 bytes 修改时间: 2017年4月13日, 15:30:22 MD5值: DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值: 863F5956863D793298D92610377B705F85FA42B5 CRC32:1386DD7A 1.2 测试环境及工具 测试环境:虚拟机Windows 7 32位 测试工具:火绒剑、PCHunter、PEiD、OllyDbg、IDA、LoadPE 1.3 分析目标 分析病毒具体行为,找到病毒行为的具体实现代码,了解病毒实现原理,评估病毒的威胁程度。 1.4 样本行为概述 是一个勒索软件,样本运行后的行为: