O MalConfScan é um plug-in Volatility que extrai dados de configuração de malware conhecido. Volatilidade é uma estrutura forense de memória de código aberto para resposta a incidentes e análise de malware. Essa ferramenta procura malware em imagens de memória e despeja dados de configuração. Além disso, esta ferramenta tem uma função para listar cadeias às quais o código malicioso se refere.
Famílias de malware suportadas O
MalConfScan pode despejar os seguintes dados de configuração de malware, seqüências de caracteres decodificadas ou domínios DGA:
- Ursnif
- Emotet
- Carregador de fumaça
- Hera Venenosa
- CobaltStrike
- NetWire
- PlugX
- RedLeaves / Himawari / Lavender / Tatu / zark20rk
- TSCookie
- TSC_Loader
- xxmm
- Datper
- Ramnit
- HawkEye
- Lokibot
- Bebloh (Shiotob / URLZone)
- AZORult
- NanoCore RAT
- AgentTesla
- FormBook
- NodeRAT ( https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html )
- njRAT
- TrickBot
- Remcos
- QuasarRAT
- Pónei
Análise Adicional O
MalConfScan tem uma função para listar seqüências de caracteres às quais o código malicioso se refere. Os dados de configuração geralmente são codificados por malware. O malware grava dados de configuração decodificados na memória, podendo estar na memória. Esse recurso pode listar dados de configuração decodificados.
Como instalar
Se você quiser saber mais detalhes, consulte o wiki do MalConfScan .
Como usar o
MalConfScan possui duas funções: malconfscan e malstrscan .
Exportar configuração de malware conhecida
$ python vol.py malconfscan -f images.mem --profile=Win7SP1x64Listar as strings referenciadas
$ python vol.py malstrscan -f images.mem --profile=Win7SP1x64MalConfScan com Cuckoo Os
dados de configuração de malware podem ser despejados automaticamente adicionando MalConfScan à Cuckoo Sandbox. Se você precisar de mais detalhes sobre a integração do Cuckoo e do MalConfScan, consulte MalConfScan with Cuckoo .