MalConfScan:从已知的恶意软件家族中提取配置信息 - 小胖资源博客

MalConfScan:从已知的恶意软件家族中提取配置信息

作者: 小胖

全网最全的网络资源分享网站

手机扫码查看

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

浪尖物联卡

MalConfScan是一个Volatility插件,可从已知的歹意软件家族中提取配置信息。Volatility则是一个用于事情响应和歹意软件剖析的开源内存取证框架。此工具会在内存映像中搜索歹意软件并转储配置数据。此外,它还具有列出歹意代码所援用的字符串的功用。

支持的歹意软件家族

MalConfScan能够转储以下歹意软件配置数据,已解码的字符串或DGA域:

Ursnif

Emotet

Smoke Loader

PoisonIvy

CobaltStrike

NetWire

PlugX

RedLeaves / Himawari / Lavender / Armadill / zark20rk

TSCookie

TSC_Loader

xxmm

Datper

Ramnit

HawkEye

Lokibot

Bebloh (Shiotob/URLZone)

 AZORult

NanoCore RAT

AgentTesla

FormBook

NodeRAT (https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html)

Pony

装置

装置软件包

假如你未装置Yara,请查看此页面并停止装置

Volatility仅支持Python2。假如你未装置Python2,请装置它。

下载 Volatility

下载Volatility源码

从zip或tar.gz文件中提取Volatility源码

ActionScript
$ wget http://downloads.volatilityfoundation.org/releases/2.6/volatility-2.6.zip
$ unzip volatility-2.6.zip

或从Github克隆。

ActionScript
$ git clone https://github.com/volatilityfoundation/volatility.git

装置 MalConfScan

从Github存储库克隆MalConfScan:

ActionScript
$ git clone https://github.com/JPCERTCC/MalConfScan.git

装置Python requirements:

ActionScript
$ pip install -r MalConfScan/requirements.txt

将MalConfScan复制到Volatility Plug-in文件夹:

ActionScript
$ cd MalConfScan
$ cp -R malconfscan.py utils yara [Extract Volatility Folder]/volatility/plugin/malware

有关Linux上的Volatility装置,请参阅Volatility wiki

运用

MalConfScan主要有两个功用malconfscan和malstrscan。

导出已知的歹意软件配置

malconfscan能够转储歹意软件配置数据,已解码的字符串或DGA域。

ActionScript
$ python vol.py malconfscan -f images.mem --profile=Win7SP1x64

示例

RedLeaves配置数据

Bebloh配置数据和DGAs

FormBook解码的字符串

列出援用的字符串

malstrscan能够列出歹意代码所援用的字符串。配置数据通常由歹意软件编码。歹意软件将已解码的配置数据写入到内存,它可能在内存中。此功用可列出已解码的配置数据。

该功用默许仅列出来自PE加载的内存空间的字符串。-a选项还将列出父内存空间中的字符串,例如Heap。

ActionScript
$ python vol.py malstrscan -a -f images.mem --profile=Win7SP1x64

示例

列出Ramnit的援用字符串

和 Cuckoo Sandbox 一同工作

经过将MalConfScan添加到Cuckoo Sandbox,能够自动转储歹意软件配置数据。假如你想要理解更多细致信息以及如何装置,请查看MalConfScan with Cuckoo

 *参考来源:GitHub

分享到:
打赏
未经允许不得转载:

作者: 小胖, 转载或复制请以 超链接形式 并注明出处 小胖资源博客
原文地址: 《MalConfScan:从已知的恶意软件家族中提取配置信息》 发布于2019-6-3

评论

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏