详细内容或原文请订阅后点击阅览
快速发布:PDF/ActiveMime Maldocs YARA 规则
这是我开发的 YARA 规则,用于检测我在“Quickpost:PDF/ActiveMime 多语言恶意文档分析”中写到的 PDF/ActiveMime 恶意文档。它会查找以 %PDF- 开头(此标头可能被混淆)且包含字符串 QWN0aXZlTWlt(BASE64 中的字符串 ActiveMim)的文件,可能被空格字符混淆。用于检测散布的字符 QWN0aXZlTWlt 的正则表达式 […]
来源:Didier Stevens _恶意软件Quickpost:PDF/ActiveMime 恶意文档 YARA 规则
这是我开发的 YARA 规则,用于检测我在“Quickpost:PDF/ActiveMime 多语言恶意文档分析”中写到的 PDF/ActiveMime 恶意文档。
这里 Quickpost:PDF/ActiveMime 多语言恶意文档分析它查找以 %PDF- 开头(此标头可能被混淆)且包含字符串 QWN0aXZlTWlt(BASE64 中的字符串 ActiveMim)的文件,可能被空格字符混淆。
用于检测 QWN0aXZlTWlt 字符与空格字符交织在一起的正则表达式(YARA 字符串 $base64_ActiveMim0)没有大于 1 个字节的原子(对于 YARA 的 Aho-Corasic 算法),因此会生成警告,禁止将其用于 VirusTotal 搜寻。
Aho-Corasic 算法这就是为什么我用 21 个正则表达式替换该正则表达式的原因,这些正则表达式都以 3 个固定字节开头,从而允许 YARA 选择足够大的原子。
快速发布信息尚无评论。