Project GUID
Иногда, чтобы выявить сходства между образцами малвари используют imphash/ssdeep/... Они не подходят для .NET малвари и поэтому для поиска схожих образцов, как один из вариантов, используется TypeRefHash. (подробнее в моей позапрошлой статье) . На гитхабе я нашел скрипт neossins. Автор скрипта написал статью про то, как это работает и зачем.
neossins строит граф связей основываясь на TypeRefHash. Помимо TypeRefHash, .NET малварь содержит информацию о Project GUID - это GUID проекта, в котором собиралась программа. Соответственно, если у каких-то образцов он совпадает, то они были собраны в одном проекте и скорее всего у них одних автор. Я форкнул neossins и добавил поддержку поиска связей по project guid. Я взял 60 рандомных образцов NanoCore и среди них мне даже удалось обнаружить связь по guid (к сожалению не для всех удалось вычислить сам guid). Форк еще не закончен и в процессе разработки, так что как-то так =/
Иногда, чтобы выявить сходства между образцами малвари используют imphash/ssdeep/... Они не подходят для .NET малвари и поэтому для поиска схожих образцов, как один из вариантов, используется TypeRefHash. (подробнее в моей позапрошлой статье) . На гитхабе я нашел скрипт neossins. Автор скрипта написал статью про то, как это работает и зачем.
neossins строит граф связей основываясь на TypeRefHash. Помимо TypeRefHash, .NET малварь содержит информацию о Project GUID - это GUID проекта, в котором собиралась программа. Соответственно, если у каких-то образцов он совпадает, то они были собраны в одном проекте и скорее всего у них одних автор. Я форкнул neossins и добавил поддержку поиска связей по project guid. Я взял 60 рандомных образцов NanoCore и среди них мне даже удалось обнаружить связь по guid (к сожалению не для всех удалось вычислить сам guid). Форк еще не закончен и в процессе разработки, так что как-то так =/
Как вы знаете, такие стилеры как agenttesla, nanocore и другая подобная .net малварь часто содержит вредоносный payload в виде PNG картинки, используя при этом стеганографию. Проанализировав структуру таких картинок, я выявил что все они имеют одинаковые значения gAMA, pHYs, IDAT. Подробнее о том, что это такое можно прочитать тут и тут. Если кратко,то pHSy - это размер пикселя, gAMA - интенсивность, а IDAT это чанк с данными непосредственно изображения.
Я объединил все это в YARA правило и смог обнаружить много .net малвари. Вручную проанализировав несколько образцов из кучи я обнаружил, что они и вправду вредоносные. Хз, возможно это такой false positive. Можете проверить сами, я выложил список найденных хэшей и само yara правило =|
https://github.com/thatskriptkid/yara/tree/master/stego%20png
ps много fp, вероятно не подходит
Я объединил все это в YARA правило и смог обнаружить много .net малвари. Вручную проанализировав несколько образцов из кучи я обнаружил, что они и вправду вредоносные. Хз, возможно это такой false positive. Можете проверить сами, я выложил список найденных хэшей и само yara правило =|
https://github.com/thatskriptkid/yara/tree/master/stego%20png
ps много fp, вероятно не подходит
Forwarded from novitoll_ch (novitoll)
YouTube
Lana Del Rey - Summertime Sadness (Official Music Video)
Brand new album 'Lust for Life' out now. Listen: https://lana.lnk.to/LFLaID
Lana Del Rey - Summertime Sadness (Official Music Video)
Sign up for updates: http://smarturl.it/LanaDelRey.News
Follow Lana Del Rey:
http://www.instagram.com/lanadelrey
http:…
Lana Del Rey - Summertime Sadness (Official Music Video)
Sign up for updates: http://smarturl.it/LanaDelRey.News
Follow Lana Del Rey:
http://www.instagram.com/lanadelrey
http:…
Анализ вредоносных vba макросов, с помощью конвертации их в питон скрипт
https://www.virusbulletin.com/blog/2021/04/new-article-run-your-malicious-vba-macros-anywhere/
https://www.virusbulletin.com/blog/2021/04/new-article-run-your-malicious-vba-macros-anywhere/
Virusbulletin
Virus Bulletin :: New article: Run your malicious VBA macros anywhere!
Kurt Natvig explains how he recompiled malicious VBA macro code to valid harmless Python 3.x code.
для детектирования криптографических алгоритмов в бинарниках
http://www.dcs.fmph.uniba.sk/zri/6.prednaska/tools/PEiD/plugins/kanal.htm
https://github.com/nihilus/IDA_Signsrch
https://github.com/marbink/signsrch_mac (спасибо Анониму, для запуска не нужна ИДА)
http://www.dcs.fmph.uniba.sk/zri/6.prednaska/tools/PEiD/plugins/kanal.htm
https://github.com/nihilus/IDA_Signsrch
https://github.com/marbink/signsrch_mac (спасибо Анониму, для запуска не нужна ИДА)
Rules from Fireeye's capa-rules converted to YARA
https://github.com/ruppde/yara_rules/tree/main/capa2yara
https://github.com/ruppde/yara_rules/tree/main/capa2yara
GitHub
GitHub - mandiant/capa-rules: Standard collection of rules for capa: the tool for enumerating the capabilities of programs
Standard collection of rules for capa: the tool for enumerating the capabilities of programs - GitHub - mandiant/capa-rules: Standard collection of rules for capa: the tool for enumerating the capa...
From pentest to APT attack: cybercriminal group FIN7 disguises its malware as an ethical hacker’s toolkit
https://bi-zone.medium.com/from-pentest-to-apt-attack-cybercriminal-group-fin7-disguises-its-malware-as-an-ethical-hackers-c23c9a75e319
https://bi-zone.medium.com/from-pentest-to-apt-attack-cybercriminal-group-fin7-disguises-its-malware-as-an-ethical-hackers-c23c9a75e319
Medium
From pentest to APT attack: cybercriminal group FIN7 disguises its malware as an ethical hacker’s…
The article was prepared by BI.ZONE Cyber Threats Research Team