MalConfScan是一个Volatility插件,可从已知的恶意软件家族中提取配置信息。Volatility则是一个用于事件响应和恶意软件分析的开源内存取证框架。此工具会在内存映像中搜索恶意软件并转储配置数据。此外,它还具有列出恶意代码所引用的字符串的功能。
支持的恶意软件家族
MalConfScan可以转储以下恶意软件配置数据,已解码的字符串或DGA域:
Ursnif
Emotet
Smoke Loader
PoisonIvy
CobaltStrike
NetWire
PlugX
RedLeaves / Himawari / Lavender / Armadill / zark20rk
TSCookie
TSC_Loader
xxmm
Datper
Ramnit
HawkEye
Lokibot
Bebloh (Shiotob/URLZone)
AZORult
NanoCore RAT
AgentTesla
FormBook
NodeRAT (https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html)
Pony
安装
安装软件包
如果你未安装Yara,请查看此页面并进行安装。
Volatility仅支持Python2。如果你未安装Python2,请安装它。
下载 Volatility
下载Volatility源码;
从zip或tar.gz文件中提取Volatility源码
$ wget http://downloads.volatilityfoundation.org/releases/2.6/volatility-2.6.zip
$ unzip volatility-2.6.zip
或从Github克隆。
$ git clone https://github.com/volatilityfoundation/volatility.git
安装 MalConfScan
从Github存储库克隆MalConfScan:
$ git clone https://github.com/JPCERTCC/MalConfScan.git
安装Python requirements:
$ pip install -r MalConfScan/requirements.txt
将MalConfScan复制到Volatility Plug-in文件夹:
$ cd MalConfScan
$ cp -R malconfscan.py utils yara [Extract Volatility Folder]/volatility/plugin/malware
有关Linux上的Volatility安装,请参阅Volatility wiki。
使用
MalConfScan主要有两个功能malconfscan和malstrscan。
导出已知的恶意软件配置
malconfscan可以转储恶意软件配置数据,已解码的字符串或DGA域。
$ python vol.py malconfscan -f images.mem --profile=Win7SP1x64
示例
RedLeaves配置数据
Bebloh配置数据和DGAs
FormBook解码的字符串
列出引用的字符串
malstrscan可以列出恶意代码所引用的字符串。配置数据通常由恶意软件编码。恶意软件将已解码的配置数据写入到内存,它可能在内存中。此功能可列出已解码的配置数据。
该功能默认仅列出来自PE加载的内存空间的字符串。-a选项还将列出父内存空间中的字符串,例如Heap。
$ python vol.py malstrscan -a -f images.mem --profile=Win7SP1x64
示例
列出Ramnit的引用字符串
和 Cuckoo Sandbox 一起工作
通过将MalConfScan添加到Cuckoo Sandbox,可以自动转储恶意软件配置数据。如果你想要了解更多详细信息以及如何安装,请查看MalConfScan with Cuckoo。
*参考来源:GitHub,FB小编secist编译,转载请注明来自FreeBuf.COM