1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-analysis_ref_and_memo.md

This commit is contained in:
mether049 2020-02-03 23:59:09 +09:00 committed by GitHub
parent 1376280312
commit a66d4f2a84
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -124,27 +124,28 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
|UnpacMe|https://www.unpac.me/#/|online unpacker,beta| |UnpacMe|https://www.unpac.me/#/|online unpacker,beta|
### Unpacker/Decryptor/Decoder/Extractor/Memory Scanner ### Unpacker/Decryptor/Decoder/Extractor/Memory Scanner
- 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br> - [TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)<br>
[TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker) 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br>
- Trickbotのartifactを取得するためのdecrypter<br> - [Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)<br>
[Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot) Trickbotのartifactを取得するためのdecrypter<br>
- マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出プロセスダンプyaraスキャン文字列の抽出)<br> - [VolatilityBot](https://github.com/mkorman90/VolatilityBot)<br>
[VolatilityBot](https://github.com/mkorman90/VolatilityBot)<br> マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出プロセスダンプyaraスキャン文字列の抽出)<br>
- IoCスキャナー(パス・ファイル名の正規表現マッチファイルとプロセスメモリのyaraスキャンhashマッチc2 IoCスキャンPE-Sieve)<br> - [Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)<br>
[Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)<br> IoCスキャナー(パス・ファイル名の正規表現マッチファイルとプロセスメモリのyaraスキャンhashマッチc2 IoCスキャンPE-Sieve)<br>
- FireEye Labsの静的解析分析技術を利用して難読化された文字列を自動的に検知抽出デコード<br> - [flare-floss](https://github.com/fireeye/flare-floss)<br>
[flare-floss](https://github.com/fireeye/flare-floss)<br> FireEye Labsの静的解析分析技術を利用して難読化された文字列を自動的に検知抽出デコード<br>
- Process Hollowing,Injectionされた特定のプロセスをダンプ<br> - [PE-Sieve](https://github.com/hasherezade/pe-sieve)<br>
[PE-Sieve](https://github.com/hasherezade/pe-sieve)<br> Process Hollowing,Injectionされた特定のプロセスをダンプ<br>
- PE-Sieveを使用してシステム全体をスキャン<br> - [HollowsHunter](https://github.com/hasherezade/hollows_hunter)<br>
[HollowsHunter](https://github.com/hasherezade/hollows_hunter)<br> PE-Sieveを使用してシステム全体をスキャン<br>
- ファイルやプロセスメモリ内の文字列の抽出<br> - [strings2](http://split-code.com/strings2.html)<br>
[strings2](http://split-code.com/strings2.html)<br> ファイルやプロセスメモリ内の文字列の抽出<br>
- 文字列,正規表現でプロセスメモリをスキャン<br> - [mnemosyne](https://github.com/nccgroup/mnemosyne)<br>
[mnemosyne](https://github.com/nccgroup/mnemosyne)<br> 文字列,正規表現でプロセスメモリをスキャン<br>
[Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc) - **ref:**<br>
- Injecition/Hollowingされたプロセスの自動検出<br> - [Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc)
[Memhunter](https://github.com/marcosd4h/memhunter)<br> - [Memhunter](https://github.com/marcosd4h/memhunter)<br>
Injecition/Hollowingされたプロセスの自動検出<br>
- **ref:**<br> - **ref:**<br>
- [Memhunter (Memory resident malware hunting at scale)](https://docs.google.com/presentation/d/1hgx2FTNIkry9Nt8LOJVz_rHNhcGfJChxZVGckv7VI8E/edit#slide=id.g5712e7065f_1_1)<br> - [Memhunter (Memory resident malware hunting at scale)](https://docs.google.com/presentation/d/1hgx2FTNIkry9Nt8LOJVz_rHNhcGfJChxZVGckv7VI8E/edit#slide=id.g5712e7065f_1_1)<br>
- [Reflective DLL Injection Detection through Memhunte,youtube](https://www.youtube.com/watch?v=t_fR1sCENkc)<br> - [Reflective DLL Injection Detection through Memhunte,youtube](https://www.youtube.com/watch?v=t_fR1sCENkc)<br>
@ -164,13 +165,14 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
# Doc Analysis # Doc Analysis
- VBA マクロの解析についての資料<br> - VBA マクロの解析についての資料<br>
[Advanced VBA Macros Attack&Defence,BHEU2019](https://www.decalage.info/files/eu-19-Lagadec-Advanced-VBA-Macros-Attack-And-Defence.pdf)<br> [Advanced VBA Macros Attack&Defence,BHEU2019](https://www.decalage.info/files/eu-19-Lagadec-Advanced-VBA-Macros-Attack-And-Defence.pdf)<br>
- RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出<br> - [rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)<br>
[rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)<br> RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出<br>
# C2 Analysis # C2 Analysis
### Emotet ### Emotet
- Emotetのc2通信部分のエミュレータ<br> - [Emutet](https://github.com/d00rt/emotet_network_protocol)<br>
[Emutet](https://github.com/d00rt/emotet_network_protocol)<br> Emotetのc2通信部分のエミュレータ<br>
### Ursnif ### Ursnif
- Ursnif(version 2)のc2通信の仕組みと復号ツールについて<br> - Ursnif(version 2)のc2通信の仕組みと復号ツールについて<br>