Tutoriales

Proyecto de código abierto tiene como objetivo generar YARA

Publicaciones relacionadas

Generador de reglas fácticas es un proyecto de código abierto que tiene como objetivo generar reglas YARA sobre el software instalado desde un sistema operativo en ejecución.

El objetivo del software es poder utilizar un conjunto de reglas contra las evidencias forenses digitales recopiladas o adquiridas y encontrar el software instalado de manera oportuna.

El software se puede utilizar para establecer una línea base de software conocido del sistema Windows y crear un conjunto de reglas para encontrar una instalación similar en otros sistemas.

dependencias

  • pefile
  • psutil
  • ndjson
  • python-tlsh
  • PyInstaller (para cambiar client.py a client.exe)
  • profundo
    • En Ubuntu:
      • sudo apt-get install build-essential libffi-dev python3 python3-dev python3-pip libfuzzy-dev
      • pip install ssdeep

Requisito de herramientas

Se requieren algunas herramientas en el sistema operativo host, algunas son herramientas estándar de Unix y otras adicionales:

Para la máquina virtual de Windows, se requiere instalar el siguiente software:

  • SEliminar
  • AsA (Analizador de superficie de ataque)

Instalar

  • Instalar todas las dependencias de Python requisitos definidos.txt
  • Cree una carpeta compartida para comunicarse con VM
  • Instalar una máquina virtual de Windows
    • Instalar chocolatey en Windows VM
    • Completo bin/OnWindows/Varclient.py
    • Cambio bin/OnWindows/client.py en un archivo ejecutable con PyInstaller y poner en la carpeta de inicio
  • Actualizar etc/allVariables.py para que coincida con su configuración deseada

En test/ se dan algunos ejemplos de software para instalar, se requiere el siguiente formato específico:

  • Primero, seleccione el nombre de los paquetes para instalar usando chocolatey antes :o el nombre del archivo en el caso de un archivo msi o exe.
  • En segundo lugar, después : ahí está el nombre del exe para extraerlo y ejecutarlo (sin extensión).
  • La segunda parte despues , sigue el mismo sistema con la palabra installer primero y despues : el tipo de instalador:
  • Finalmente, la tercera parte, uninstaller seguido por : y el desinstalador como choco, msiexec o exe

Ejecutar y generar las reglas.

  • bin/Generator.py es el único script para ejecutar, no olvides actualizar etc/allVariables.py (paso critico).

Repositorio público de reglas de YARA

  • reglas factuales: reglas de muestra generadas a partir de un software muy común.

Descripción general del generador de reglas fácticas

Artículo anteriorSysWhispers3: Evasión AV/EDR a través de llamadas directas al sistema

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba