mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-analysis_ref_and_memo.md
This commit is contained in:
parent
1376280312
commit
a66d4f2a84
@ -124,27 +124,28 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
||||
|UnpacMe|https://www.unpac.me/#/|online unpacker,beta|
|
||||
|
||||
### Unpacker/Decryptor/Decoder/Extractor/Memory Scanner
|
||||
- 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br>
|
||||
[TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)
|
||||
- Trickbotのartifactを取得するためのdecrypter<br>
|
||||
[Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)
|
||||
- マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出,プロセスダンプ,yaraスキャン,文字列の抽出)<br>
|
||||
[VolatilityBot](https://github.com/mkorman90/VolatilityBot)<br>
|
||||
- IoCスキャナー(パス・ファイル名の正規表現マッチ,ファイルとプロセスメモリのyaraスキャン,hashマッチ,c2 IoCスキャン,PE-Sieve)<br>
|
||||
[Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)<br>
|
||||
- FireEye Labsの静的解析分析技術を利用して,難読化された文字列を自動的に検知,抽出,デコード<br>
|
||||
[flare-floss](https://github.com/fireeye/flare-floss)<br>
|
||||
- Process Hollowing,Injectionされた特定のプロセスをダンプ<br>
|
||||
[PE-Sieve](https://github.com/hasherezade/pe-sieve)<br>
|
||||
- PE-Sieveを使用してシステム全体をスキャン<br>
|
||||
[HollowsHunter](https://github.com/hasherezade/hollows_hunter)<br>
|
||||
- ファイルやプロセスメモリ内の文字列の抽出<br>
|
||||
[strings2](http://split-code.com/strings2.html)<br>
|
||||
- 文字列,正規表現でプロセスメモリをスキャン<br>
|
||||
[mnemosyne](https://github.com/nccgroup/mnemosyne)<br>
|
||||
[Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc)
|
||||
- Injecition/Hollowingされたプロセスの自動検出<br>
|
||||
[Memhunter](https://github.com/marcosd4h/memhunter)<br>
|
||||
- [TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)<br>
|
||||
攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br>
|
||||
- [Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)<br>
|
||||
Trickbotのartifactを取得するためのdecrypter<br>
|
||||
- [VolatilityBot](https://github.com/mkorman90/VolatilityBot)<br>
|
||||
マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出,プロセスダンプ,yaraスキャン,文字列の抽出)<br>
|
||||
- [Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)<br>
|
||||
IoCスキャナー(パス・ファイル名の正規表現マッチ,ファイルとプロセスメモリのyaraスキャン,hashマッチ,c2 IoCスキャン,PE-Sieve)<br>
|
||||
- [flare-floss](https://github.com/fireeye/flare-floss)<br>
|
||||
FireEye Labsの静的解析分析技術を利用して,難読化された文字列を自動的に検知,抽出,デコード<br>
|
||||
- [PE-Sieve](https://github.com/hasherezade/pe-sieve)<br>
|
||||
Process Hollowing,Injectionされた特定のプロセスをダンプ<br>
|
||||
- [HollowsHunter](https://github.com/hasherezade/hollows_hunter)<br>
|
||||
PE-Sieveを使用してシステム全体をスキャン<br>
|
||||
- [strings2](http://split-code.com/strings2.html)<br>
|
||||
ファイルやプロセスメモリ内の文字列の抽出<br>
|
||||
- [mnemosyne](https://github.com/nccgroup/mnemosyne)<br>
|
||||
文字列,正規表現でプロセスメモリをスキャン<br>
|
||||
- **ref:**<br>
|
||||
- [Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc)
|
||||
- [Memhunter](https://github.com/marcosd4h/memhunter)<br>
|
||||
Injecition/Hollowingされたプロセスの自動検出<br>
|
||||
- **ref:**<br>
|
||||
- [Memhunter (Memory resident malware hunting at scale)](https://docs.google.com/presentation/d/1hgx2FTNIkry9Nt8LOJVz_rHNhcGfJChxZVGckv7VI8E/edit#slide=id.g5712e7065f_1_1)<br>
|
||||
- [Reflective DLL Injection Detection through Memhunte,youtube](https://www.youtube.com/watch?v=t_fR1sCENkc)<br>
|
||||
@ -164,13 +165,14 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
||||
# Doc Analysis
|
||||
- VBA マクロの解析についての資料<br>
|
||||
[Advanced VBA Macros Attack&Defence,BHEU2019](https://www.decalage.info/files/eu-19-Lagadec-Advanced-VBA-Macros-Attack-And-Defence.pdf)<br>
|
||||
- RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出<br>
|
||||
[rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)<br>
|
||||
- [rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)<br>
|
||||
RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出<br>
|
||||
|
||||
# C2 Analysis
|
||||
### Emotet
|
||||
- Emotetのc2通信部分のエミュレータ<br>
|
||||
[Emutet](https://github.com/d00rt/emotet_network_protocol)<br>
|
||||
- [Emutet](https://github.com/d00rt/emotet_network_protocol)<br>
|
||||
Emotetのc2通信部分のエミュレータ<br>
|
||||
|
||||
|
||||
### Ursnif
|
||||
- Ursnif(version 2)のc2通信の仕組みと復号ツールについて<br>
|
||||
|
Loading…
Reference in New Issue
Block a user