Monday, October 1, 2018

Digital Forensics: Malware Forensics > Yara Part 2


Digital Forensics: Malware Forensics > Yara Part 2


คำสั่ง yarascan  ในโปรแกรม  The Volatility memory forensics framework


# volatility yarascan --profile=WinXPSP2x86 -y /root/Desktop/rules-master/malware/APT_Stuxnet.yar -f stuxnet.vmem



ตัวอย่าง ค้นหาโดยใช้   string

$ python vol.py -f zeus.vmem yarascan -D dump_files --yara-rules="simpleStringToFind"

ดูตัวอย่าง Rule ได้ที่ https://yara.readthedocs.io/en/v3.7.0


ตัวอย่าง ค้นหาโดยใช้  byte pattern





คำสั่ง yaraScan  ในโปรแกรม  The Volatility memory forensics framework


ถ้าใช้การ YARA rules file ให้ใส่คำสั่ง --yara-file=RULESFILE. Or, if you're just looking for something simple, and only plan to do the search a few times, then you can specify the criteria like --yara-rules=RULESTEXT.


-f zeus.vmem  คือ ไฟล์ memory ที่เราต้องการดูว่ามีมัลแวร์อยู่หรือไม่
 
=/path/to/rules.yar   คือพาทของฐานข้อมูลไฟล์ .yar ที่ download มาเก็บไว้


$ python vol.py -f zeus.vmem yarascan --yara-file=/path/to/rules.yar
 
 
 
 


คำสั่ง  yara 



# yara -w -m /root/Desktop/rules-master/malware/*.yar /root/Desktop/Malware\ Dump/zeus.vmem

เมื่อscan  เสร็จให้เก็บไว้บน text file

 > MalwareReport.txt 


Tools ตัวไหนบ้าง ที่หลักการ แบบ Yara







https://yara.readthedocs.io/en/v3.4.0/writingrules.html
https://www.bsk-consulting.de/loki-free-ioc-scanner/
https://en.wikipedia.org/wiki/Indicator_of_compromise
https://blog.malwarebytes.com/security-world/technology/2017/09/explained-yara-rules/
https://securityintelligence.com/signature-based-detection-with-yara/
https://www.joesandbox.com
https://github.com/Yara-Rules
http://malware-traffic-analysis.net
https://malshare.com
https://nodistribute.com

#Malware Forensics
#Digital Forensics Certification 

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#DForensics-Examiner
#dforensic.blogspot.com/
#Certified Examiner

No comments:

Post a Comment