Quickpost: PDF/ActiveMime Maldocs YARA Rule
这是我开发的 YARA 规则,用于检测我在“Quickpost:PDF/ActiveMime 多语言恶意文档分析”中写到的 PDF/ActiveMime 恶意文档。它会查找以 %PDF- 开头(此标头可能被混淆)且包含字符串 QWN0aXZlTWlt(BASE64 中的字符串 ActiveMim)的文件,可能被空格字符混淆。用于检测散布的字符 QWN0aXZlTWlt 的正则表达式 […]
Quickpost: Analysis of PDF/ActiveMime Polyglot Maldocs
jpcert 报告了一种新型恶意文档:“PDF 中的恶意文档 - 通过将恶意 Word 文件嵌入 PDF 文件来绕过检测 -”。这些恶意文档是嵌入 MIME 格式的 Word 文档 (ActiveMime) 的 PDF 文件。可以通过结合我的 emldump.py 工具和 oledump.py 来分析 ActiveMime 文档。ActiveMime 文档被严重混淆了 […]
这是一个用于分析 OneNote 文件的新工具(基于我的二进制文件 Python 模板)。此版本仅限于处理嵌入文件(目前)。由于我可能仍会对用户界面进行重大更改,因此我已将此工具放在我的 GitHub 测试版存储库中。
Combining zipdump, file-magic And myjson-filter
在这篇博文中,我将展示如何结合使用我的工具 zipdump.py、file-magic.py 和 myjson-filter.py 来选择和分析特定类型的文件。我从 Malware Bazaar 每天发布的一批恶意软件文件开始。我让它使用选项 –jsonoutput 生成 JSON 输出,我的一些 […] 可以使用该输出
Combining dns-pydivert And dnsresolver
我使用我的工具 dns-pydivert 和 dnsresolver.py 进行软件(恶意软件和良性软件)的动态分析。在进行动态分析的虚拟机上,我禁用了 IPv6 支持。我安装了 dnslib 并使用以下命令运行 dnsresolver.py,例如: 第一个命令是解析命令:DNS A 对 example.com 的查询将 […]
Extracting Certificates For Defender
一位同事请我帮忙从恶意文件中提取代码签名证书,以将其添加到 Defender 的阻止列表中。该过程包括在 Windows 资源管理器中右键单击 EXE,选择属性以查看数字签名,等等……但我不喜欢必须单击恶意软件的过程。所以我 […]
Maldoc Analysis Video – Rehearsed & Unrehearsed
当我录制恶意文档分析视频时,我在录制之前已经分析了恶意文档,并且我排练了录制过程。这次,我还录制了未经排练的分析:当我第一次查看我以前从未见过的恶意文档时。全部在此视频中:
Examples Of Encoding Reversing
我最近创建了 2 篇博客文章,并附有相应的视频来逆转编码。第一个是关于 ISC 日记的:“统计解码混淆的 BASE64”。有效载荷使用 BASE64 的变体进行编码,我将展示如何分析编码的有效载荷以找出如何对其进行解码。这就是 […]
Another Exercise In Encoding Reversing
我还为这篇博文录制了一个视频。在这篇博文中,我将展示如何通过执行统计分析和猜测一些“明文”来解码以十六进制编码变体编码的有效载荷。我现在也有解码器(.NET 程序集),但在这里我将展示如何 […]
PoC: Cobalt Strike mitm Attack
我大约 6 个月前做过这件事,但当时这篇博文没有发布。我现在发布它。我做了一个小的概念验证:cs-mitm.py 是一个 mitmproxy 脚本,它可以拦截 Cobalt Strike 流量、解密并注入自己的命令。在此视频中,通过向恶意信标发送睡眠来终止恶意信标 […]
