在VT上搜尋惡意軟體

原文是vt的malware hunting in a nutshell

惡意軟體搜尋是vt上的乙個服務，它允許使用者掛接vt上提交的檔案流並且有檔案匹配到使用者編寫的yara規則時通知使用者。如果你之前從未使用過yara，我們建議你可以從閱讀yara文件開始熟悉他，你也可以訪問yara官網去訪問其他的工具和資源。

將yara規則應用於vt上的檔案，你可以，得到乙個通過病毒家族分類的恆定的惡意軟體流，發現沒有被反病毒引擎檢測出的新的惡意軟體，收集使用特定語言編寫的或是使用特殊加殼器加殼的檔案，建立啟發式規則檢測可疑檔案，享受yara多功能性的益處，yara每天作用於vt處理的大量檔案中。

惡意軟體搜尋可以將yara規則應用於vt上的每乙個檔案，不論這個檔案是什麼檔案型別。如果是被某些加殼器加殼的pe檔案，則加殼和未加殼的檔案版本都可以使用yara掃瞄。當有檔案匹配到你的規則時，vt會通過郵箱使用rss訂閱或json 提要方式發給你乙個關於檔案細節以及匹配規則的通知。

關於如何建立yara規則更深入的資訊可以在yara文件上找到，然而本文中有很多惡意軟體搜尋特定特徵，他們在很多情況下是非常有用的。這些附加的特徵也叫做externals，關於它的細節描述在下面的段落中。

在惡意軟體搜尋的時候，你的規則不僅可以考慮檔案自身的內容，還可以考慮掃瞄這個檔案的不同反病毒引擎生成的特徵，這意味著你可以構造規則宣告「匹配包含字串『foo『和』bar』的檔案，而且被兩個以上的引擎檢測到「或者」匹配被引擎x檢測到的檔案」或者是「匹配被引擎x檢測為『baz『的檔案「。規則舉例如下。

rule example_1 rule example_2 rule example_3 rule example_4 rule example_5 rule example_6 rule example_7 rule example_8 rule example_9

反病毒引擎名稱列表可以在file searches找到。

rule example_10

rule example_11 rule example_12 rule example_13

rule example_14

另一方面，如果你只想尋找32位的pe檔案，不管是exe還是dll檔案，規則如下。

rule example_15

其他規則：

rule example_16 rule example_17

所有可用檔案型別列表以及對應的file_type變數值可以在malware hunting找到。

vt上提交檔案的檔名經常就揭露了這個檔案的本質。舉例，乙個名為banker_santander

.exe的檔案就可以反映出它是被乙個惡意**研究者提交的，該研究者正在研究針對banco santander的銀行木馬。

為了根據檔名搜尋檔案，你應該使用file_name yara external 關鍵字。

rule example_18

virustotal嘗試在乙個可控的環境中執行提交到vt的所有可執行檔案，旨在記錄他們的行為：檔案操作、登錄檔操作，程序啟動等。

行為搜尋功能得感謝yara』s cuckoo module的支援，閱讀這個鏈結可以熟悉所有允許的行為特徵。

舉例，你可以檔案的行為構造乙個規則，這個行為可以是給乙個特定網域名稱傳送http請求或是訪問特定的登錄檔鍵值。

import "cuckoo"
rule example_19
rule example_20

以下是malware hunting支援的所有yara modules

pe module

cuckoo module

除了在樣本提交到vt時實時搜尋檔案外，你也可以把yara規則應用到過去提交的檔案上。把你的yara規則放到提供的沙箱中，執行你的retrohunt工作，你將會得到匹配你規則的檔案列表。這個程序會花費幾個小時，vt會掃瞄多兆兆位元組的資料，如果你想要在掃瞄結果出來後得到通知，就提供個vt乙個email 位址。

然而，注意：沒有乙個惡意軟體搜尋特徵將會和retrohunt一起工作，包括基於活躍數量的規則，反病毒特徵、標籤、檔案型別和cuckoo的行為報告。只有yara規則會工作。

在VT上搜尋惡意軟體

蘋果失誤批准惡意軟體在macOS上執行目前已撤銷

在centos上安裝軟體

安全專家稱惡意軟體開始瞄上蘋果Mac電腦

在VT上搜尋惡意軟體

蘋果失誤批准惡意軟體在macOS上執行 目前已撤銷

在centos上安裝軟體

安全專家稱惡意軟體開始瞄上蘋果Mac電腦

相關推薦

蘋果失誤批准惡意軟體在macOS上執行目前已撤銷