在VT上搜尋惡意軟體

2021-09-05 09:37:30 字數 2255 閱讀 5325

原文是vt的malware hunting in a nutshell

惡意軟體搜尋是vt上的乙個服務,它允許使用者掛接vt上提交的檔案流並且有檔案匹配到使用者編寫的yara規則時通知使用者。如果你之前從未使用過yara,我們建議你可以從閱讀yara文件開始熟悉他,你也可以訪問yara官網去訪問其他的工具和資源。

將yara規則應用於vt上的檔案,你可以,得到乙個通過病毒家族分類的恆定的惡意軟體流,發現沒有被反病毒引擎檢測出的新的惡意軟體,收集使用特定語言編寫的或是使用特殊加殼器加殼的檔案,建立啟發式規則檢測可疑檔案,享受yara多功能性的益處,yara每天作用於vt處理的大量檔案中。

惡意軟體搜尋可以將yara規則應用於vt上的每乙個檔案,不論這個檔案是什麼檔案型別。如果是被某些加殼器加殼的pe檔案,則加殼和未加殼的檔案版本都可以使用yara掃瞄。當有檔案匹配到你的規則時,vt會通過郵箱使用rss訂閱或json 提要方式發給你乙個關於檔案細節以及匹配規則的通知。

關於如何建立yara規則更深入的資訊可以在yara文件上找到,然而本文中有很多惡意軟體搜尋特定特徵,他們在很多情況下是非常有用的。這些附加的特徵也叫做externals,關於它的細節描述在下面的段落中。

在惡意軟體搜尋的時候,你的規則不僅可以考慮檔案自身的內容,還可以考慮掃瞄這個檔案的不同反病毒引擎生成的特徵,這意味著你可以構造規則宣告「匹配包含字串『foo『和』bar』的檔案,而且被兩個以上的引擎檢測到「或者」匹配被引擎x檢測到的檔案」或者是「匹配被引擎x檢測為『baz『的檔案「。規則舉例如下。

rule example_1

rule example_2

rule example_3

rule example_4

rule example_5

rule example_6

rule example_7

rule example_8

rule example_9

反病毒引擎名稱列表可以在file searches找到。

rule example_10

rule example_11

rule example_12

rule example_13

rule example_14

另一方面,如果你只想尋找32位的pe檔案,不管是exe還是dll檔案,規則如下。

rule example_15

其他規則:

rule example_16

rule example_17

所有可用檔案型別列表以及對應的file_type變數值可以在malware hunting找到。

vt上提交檔案的檔名經常就揭露了這個檔案的本質。舉例,乙個名為banker_santander

.exe的檔案就可以反映出它是被乙個惡意**研究者提交的,該研究者正在研究針對banco santander的銀行木馬。

為了根據檔名搜尋檔案,你應該使用file_name yara external 關鍵字。

rule example_18

virustotal嘗試在乙個可控的環境中執行提交到vt的所有可執行檔案,旨在記錄他們的行為:檔案操作、登錄檔操作,程序啟動等。

行為搜尋功能得感謝yara』s cuckoo module的支援,閱讀這個鏈結可以熟悉所有允許的行為特徵。

舉例,你可以檔案的行為構造乙個規則,這個行為可以是給乙個特定網域名稱傳送http請求或是訪問特定的登錄檔鍵值。

import "cuckoo"

rule example_19

rule example_20

以下是malware hunting支援的所有yara modules

pe module

cuckoo module

除了在樣本提交到vt時實時搜尋檔案外,你也可以把yara規則應用到過去提交的檔案上。把你的yara規則放到提供的沙箱中,執行你的retrohunt工作,你將會得到匹配你規則的檔案列表。這個程序會花費幾個小時,vt會掃瞄多兆兆位元組的資料,如果你想要在掃瞄結果出來後得到通知,就提供個vt乙個email 位址。

然而,注意:沒有乙個惡意軟體搜尋特徵將會和retrohunt一起工作,包括基於活躍數量的規則,反病毒特徵、標籤、檔案型別和cuckoo的行為報告。只有yara規則會工作。

蘋果失誤批准惡意軟體在macOS上執行 目前已撤銷

程式設計客棧 www.cppcns.com 9月1日 訊息 儘管蘋果官方作出了一系列嚴格的規定防止惡意軟體在應用商店上架,但還是有失手的時候。2019 年,蘋果採取了嚴厲的措施,要求byacrlc所有應用在macos上執行前都要經過蘋果的安全審核和開發者簽名。這個過程被蘋果稱為 公證 它會掃瞄應用程...

在centos上安裝軟體

1.在終端上,普通使用者的提示符是 root使用者的提示符是 普通使用者變成root使用者,輸入 su 輸入root密碼 root使用者變普通使用者,輸入 su 使用者名稱 2.安裝google瀏覽器 sudo rpm ivh google chrome stable current x86 64....

安全專家稱惡意軟體開始瞄上蘋果Mac電腦

北京時間4月24日早間訊息,據國外 報道,mac計算機以百毒不侵而聞名。但據計算機安全專家稱,這種情況可能正在發生改變。隨著mac日益普及,它們也成為了惡意軟體作者的攻擊目標。安全廠商賽門鐵克安全響應總監凱文 哈利 kevin haley 說,黑客通常瞄準使用者多的產品,這樣他們可以獲得最大的回報,...