GitHubじゃ!Pythonじゃ!

GitHubからPython関係の優良リポジトリを探したかったのじゃー、でも英語は出来ないから日本語で読むのじゃー、英語社会世知辛いのじゃー

fireeye

flare-floss – FireEye Labs Obfuscated String Solver – 難読化された文字列をマルウェアから自動的に抽出

投稿日:

FireEye Labs Obfuscated String Solver – 難読化された文字列をマルウェアから自動的に抽出します。

FireEye Labs難読化された文字列ソルバー

バックドアをハードコアパッカーで大きく保護するのではなく、多くのマルウェア作者は、実行可能ファイルの重要な部分だけを難読化することによってヒューリスティック検出を回避しています。 しばしば、これらの部分は、ドメイン、ファイル、および感染のその他の成果物を構成するために使用される文字列とリソースです。 これらの重要な機能は、基本的な静的解析で一般的に使用するstrings.exeユーティリティの出力にはプレーンテキストとして表示されません。

FireEye Labs Obfuscated String Solver(FLOSS)は高度な静的解析技術を使用して、マルウェアバイナリから文字列を自動的に解消します。 strings.exeように使用することで、未知のバイナリの基本的な静的解析を強化できます。

ここで FLOSSの背後にある理論を見直してください。

クイックラン

すぐにFLOSSを試すには、リリースページからスタンドアロンの実行可能ファイルをダウンロードしてください: https : //github.com/fireeye/flare-floss/releases

FLOSSのインストールの詳細については、 ここで説明している内容を確認してください

スタンドアロンの夜間ビルド:

使用法

マルウェアバイナリから難読化された文字列を抽出する:

$ floss /path/to/malware/binary

使用可能なすべてのスイッチを表示するには、ヘルプ/使用状況画面を表示します。

$ ./floss -h

FLOSSの使用方法の詳細については、 ここで説明した内容を確認してください

FLOSSのテストの詳細については、 こちらのドキュメントを参照してください

サンプル出力

$ floss malware.bin
FLOSS static ASCII strings
!This program cannot be run in DOS mode.
_YY
RichYY
MdfQ
.text
`.rdata
@.data
.idata
.didat
.reloc
U  F
?;}
A@;E
_^[
HttHt-H
'9U
WS2_32.dll
FreeLibrary
GetProcAddress
LoadLibraryA
GetModuleHandleA
GetVersionExA
MultiByteToWideChar
WideCharToMultiByte
Sleep
GetLastError
DeleteFileA
WriteFile
[..snip...]

FLOSS static UTF-16 strings
,%d

FLOSS decoded 4 strings
WinSta0\Default
Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
ProxyEnable
ProxyServer

FLOSS extracted 81 stack strings
WinSta0\Default
'%s' executed.
ERR '%s' error[%d].
Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
ProxyEnable
ProxyServer
wininet.dll
InternetOpenA
0\A4
InternetSetOptionA
InternetConnectA
InternetQueryOptionA
Mozilla/4.0 (compatible; MSIE 7.0; Win32)
-ERR
FILE(%s) wrote(%d).
Invalid ojbect.
SetFilepoint error[%d].
b64_ntop error[%d].
GetFileSize error[%d].
Creates file error[%d].
KCeID5Y/96QTJc1pzi0ZhEBqVG83OnXaL+oxsRdymHS4bFgl7UrWfP2v=wtjNukM
[..snip...]







-fireeye
-

執筆者: