Project GUID

Иногда, чтобы выявить сходства между образцами малвари используют imphash/ssdeep/... Они не подходят для .NET малвари и поэтому для поиска схожих образцов, как один из вариантов, используется TypeRefHash. (подробнее в моей позапрошлой статье) . На гитхабе я нашел скрипт neossins. Автор скрипта написал статью про то, как это работает и зачем.

neossins строит граф связей основываясь на TypeRefHash. Помимо TypeRefHash, .NET малварь содержит информацию о Project GUID - это GUID проекта, в котором собиралась программа. Соответственно, если у каких-то образцов он совпадает, то они были собраны в одном проекте и скорее всего у них одних автор. Я форкнул neossins и добавил поддержку поиска связей по project guid. Я взял 60 рандомных образцов NanoCore и среди них мне даже удалось обнаружить связь по guid (к сожалению не для всех удалось вычислить сам guid). Форк еще не закончен и в процессе разработки, так что как-то так =/

Как вы знаете, такие стилеры как agenttesla, nanocore и другая подобная .net малварь часто содержит вредоносный payload в виде PNG картинки, используя при этом стеганографию. Проанализировав структуру таких картинок, я выявил что все они имеют одинаковые значения gAMA, pHYs, IDAT. Подробнее о том, что это такое можно прочитать тут и тут. Если кратко,то pHSy - это размер пикселя, gAMA - интенсивность, а IDAT это чанк с данными непосредственно изображения.

Я объединил все это в YARA правило и смог обнаружить много .net малвари. Вручную проанализировав несколько образцов из кучи я обнаружил, что они и вправду вредоносные. Хз, возможно это такой false positive. Можете проверить сами, я выложил список найденных хэшей и само yara правило =|

https://github.com/thatskriptkid/yara/tree/master/stego%20png

ps много fp, вероятно не подходит