Browse By

MalConfScan – Plug-in de volatilidade para extrair dados de configuração de malware conhecido

O MalConfScan é um plug-in Volatility que extrai dados de configuração de malware conhecido. Volatilidade é uma estrutura forense de memória de código aberto para resposta a incidentes e análise de malware. Essa ferramenta procura malware em imagens de memória e despeja dados de configuração. Além disso, esta ferramenta tem uma função para listar cadeias às quais o código malicioso se refere.

Famílias de malware suportadas O
MalConfScan pode despejar os seguintes dados de configuração de malware, seqüências de caracteres decodificadas ou domínios DGA:

  • Ursnif
  • Emotet
  • Carregador de fumaça
  • Hera Venenosa
  • CobaltStrike
  • NetWire
  • PlugX
  • RedLeaves / Himawari / Lavender / Tatu / zark20rk
  • TSCookie
  • TSC_Loader
  • xxmm
  • Datper
  • Ramnit
  • HawkEye
  • Lokibot
  • Bebloh (Shiotob / URLZone)
  • AZORult
  • NanoCore RAT
  • AgentTesla
  • FormBook
  • NodeRAT ( https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html )
  • njRAT
  • TrickBot
  • Remcos
  • QuasarRAT
  • Pónei

Análise Adicional O
MalConfScan tem uma função para listar seqüências de caracteres às quais o código malicioso se refere. Os dados de configuração geralmente são codificados por malware. O malware grava dados de configuração decodificados na memória, podendo estar na memória. Esse recurso pode listar dados de configuração decodificados. 

Como instalar
Se você quiser saber mais detalhes, consulte o wiki do MalConfScan . 

Como usar o
MalConfScan possui duas funções: malconfscan e malstrscan . 

Exportar configuração de malware conhecida

$ python vol.py malconfscan -f images.mem --profile=Win7SP1x64

Listar as strings referenciadas

$ python vol.py malstrscan -f images.mem --profile=Win7SP1x64

MalConfScan com Cuckoo Os
dados de configuração de malware podem ser despejados automaticamente adicionando MalConfScan à Cuckoo Sandbox. Se você precisar de mais detalhes sobre a integração do Cuckoo e do MalConfScan, consulte MalConfScan with Cuckoo .

MalConfScan download grátis

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.