Come si usa una directory di file YARA?

4

Sto esaminando il Malware Cookbook PEScanner e vogliono un percorso per i miei file YARA su cui cercare. Al momento ho una directory piena di regole YARA per pezzi di malware noti.

Quale sarebbe il modo migliore per eseguire lo scanner utilizzando tutti i miei file YARA contemporaneamente? Si sta fondendo? È in looping nel codice?

PEScanner fa uno di questi o entrambi?

    
posta T. McT 02.01.2016 - 03:00
fonte

1 risposta

2

Esistono due modi principali per eseguire la scansione degli oggetti IoC nei file Yara:

  1. Contro file su disco utilizzando uno strumento come Loki.exe . Loki richiede yara e analizzerà le macchine Windows alla ricerca di IoC.
  2. Versus discariche di memoria disponibili attraverso una varietà di strumenti di memoria-dumping. Il Volatility Framework include un plugin chiamato yarascan con in grado di specificare il file delle regole Yara utilizzando il flag -y . Molti nuovi arrivati ora utilizzano il framework Rekall Forensics (un fork di Volatilità) per la sua semplicità ed estensibilità.

Di seguito combino la cartella yara di Loki con la firma base (piena di file di regole Yara) con Volatility contro un dump di memoria che ho raccolto usando MoonSols DumpIt.

for i in 'echo /opt/signature-base/yara/*' ; do vol.py --profile Win7SP1x64 -f 110138-E7440-20160328-191617.raw yarascan -y $i ; done

Probabilmente vorrai preparare la tua workstation DFIR con un ramdisk in ordine per aumentare alcune prestazioni durante l'esecuzione di analisi come queste.

    
risposta data 05.04.2016 - 00:27
fonte

Leggi altre domande sui tag