O MalConfScan é um plug-in Volatility que extrai dados de configuração de malware conhecido. Volatilidade é uma estrutura forense de memória de código aberto para resposta a incidentes e análise de malware. Essa ferramenta procura malware em imagens de memória e despeja dados de configuração. Além disso, esta ferramenta tem uma função para listar cadeias às quais o código malicioso se refere.

Famílias de malware suportadas O
MalConfScan pode despejar os seguintes dados de configuração de malware, seqüências de caracteres decodificadas ou domínios DGA:

• Ursnif
• Emotet
• Carregador de fumaça
• Hera Venenosa
• CobaltStrike
• NetWire
• PlugX
• RedLeaves / Himawari / Lavender / Tatu / zark20rk
• TSCookie
• TSC_Loader
• xxmm
• Datper
• Ramnit
• HawkEye
• Lokibot
• Bebloh (Shiotob / URLZone)
• AZORult
• NanoCore RAT
• AgentTesla
• FormBook
• NodeRAT ( https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html )
• njRAT
• TrickBot
• Remcos
• QuasarRAT
• Pónei

Análise Adicional O
MalConfScan tem uma função para listar seqüências de caracteres às quais o código malicioso se refere. Os dados de configuração geralmente são codificados por malware. O malware grava dados de configuração decodificados na memória, podendo estar na memória. Esse recurso pode listar dados de configuração decodificados. 

Como instalar
Se você quiser saber mais detalhes, consulte o wiki do MalConfScan . 

Como usar o
MalConfScan possui duas funções: malconfscan e malstrscan . 

Exportar configuração de malware conhecida

$ python vol.py malconfscan -f images.mem --profile=Win7SP1x64

Listar as strings referenciadas

$ python vol.py malstrscan -f images.mem --profile=Win7SP1x64

MalConfScan com Cuckoo Os
dados de configuração de malware podem ser despejados automaticamente adicionando MalConfScan à Cuckoo Sandbox. Se você precisar de mais detalhes sobre a integração do Cuckoo e do MalConfScan, consulte MalConfScan with Cuckoo .

MalConfScan download grátis