AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Delphi-News aus aller Welt Analizar malware con reglas Yara utilizando Delphi
Thema durchsuchen
Ansicht
Themen-Optionen

Analizar malware con reglas Yara utilizando Delphi

Ein Thema von DP News-Robot · begonnen am 20. Feb 2021
Antwort Antwort
Benutzerbild von DP News-Robot
DP News-Robot

Registriert seit: 4. Jun 2010
15.404 Beiträge
 
#1

Analizar malware con reglas Yara utilizando Delphi

  Alt 20. Feb 2021, 20:00


A continuación les presento un programa que he realizado para identificar y clasificar muestras de malware utilizando reglas Yara, ya que los antivirus tradicionales no suelen comprobar ciertos aspectos importantes que puede contener un fichero, dado que para conseguir una velocidad de análisis óptima utilizan hashes que cruzan contra una base de datos de hashes de archivos maliciosos.
Yara en este aspecto nos facilita mucho el trabajo, dado que principalmente analiza los strings de los ficheros, con lo que podemos detectar webshells, archivos utilizados en las APT, cryptomineros, macros de office maliciosas, exploits, troyanos, incluso el ransomware más actual como CobalStrike, Ryuk, etc.

En su forma mas básica, la estructura de una regla Yara es la siguiente:

rule Nombre_de_la_regla

{

strings:

$test_string1= ”Testing”

$test_string2= {E1 D2 C3 B4}

Conditions:

$test_string1 or $test_string2

}

La regla se activará si las condiciones anteriores se cumplen.

Con Yara también podemos parsear archivos PE (Portable Executable), de la siguiente forma:

Import “PE

Rule PE_Parse_Check

{

Strings:

$ string_pe=”abc” nocase

Condition:

pe.imports (“Kernel32.dll”,”CreateProcess”) and

pe.imports (“wininet.dll”,”httpsendrequest”) and

$ string_pe

}


Esta regla buscará el string "abc" y se activará si existe una creación de un proceso y un "http send request"

En general las reglas son independientes de la extensión de los archivos a analizar, es decir si tenemos un documento HTML con una webshell al que se le ha cambiado la extensión por PDF para ocultarlo o dificultar su análisis, al ser examinado por Yara se descubrirá la webshell maliciosa.


REQUISITOS PREVIOS

Descargar el archivo Yara64.exe desde aquí.


Tienen que guardar las reglas yara, que no son más que archivos de texto con la extensión ".yar" en la carpeta "reglasyar".

Existen en la red multitud de sitios desde donde descargarlas, sólo tienen que buscar en Google por "Yara rules download", para mí uno de los mejores es Yara Rules Project · GitHub


Los archivos que van a ser analizados hay que guardarlos en la carpeta "malware", aunque desde la red también se pueden descargar algunos archivos maliciosos de prueba desde aquí.


Recomiendo ejecutar el programa como Administrador, para evitar problemas con los permisos en ficheros o carpetas.


Al iniciar el programa se hace lo siguiente:

- Se comprueba que existen las carpetas "reglasyara" y "malware".


- Se leen las reglas y se muestran en pantalla.

Después hay que pulsar el botón "Iniciar comprobación" y en caso de match con una regla se mostrará en la caja "Resultados", tal como muestro en la imagen:



En este caso ha detectado que varios emails tienen imágenes y un archivo adjunto y una webshell en el archivo JFolder.jsp

MEJORAS

Dentro del código fuente, en la línea:

linea := 'yara64.exe -wf -p 20 ' + '.\reglasyar\' + regla + ' ' + DirSeleccionado;


se pueden añadir modificadores, p.ej.

-r (buscar recursivamente en todas las carpetas y subcarpetas)

-S (muestra estadísticas)

-m (muestra metadatos)

-w (ignora los warnings)




SOURCES

- Programa.rar





ESTRUCTURA DEL PROGRAMA

- Project1.exe

- Yara64.exe


- [CARPETA] reglasyar (carpeta donde se almacenan los ficheros *.yar)


- [CARPETA] malware (esta es la carpeta donde se guardan los fichero que serán analizados)




La carpeta "reglasyara" almacenará todas las reglas que hayamos descargado de la red.











































Suscribirse :



Weiterlesen...
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:39 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz