雅苒和Nessus威胁打猎

我介绍了n Nessus 6.7,文件系统扫描功能可以寻找特定的文件散列文件在磁盘上。这是除了正在运行的进程检测已支持很长一段时间。现在,作为Nessus 6.8发行版的一部分,我们已经介绍了雅苒Windows恶意软件文件扫描子系统。这提供了另一种方法基于文本的定义标准来搜索文件或二进制模式。

雅苒是什么?

雅苒是一个开源工具,最初由维克多·阿尔瓦雷斯,恶意软件,帮助研究人员识别恶意软件。雅苒摄取“规则”和应用的逻辑规则来识别恶意文件或流程。

写一个规则

对于这个博客的目的,我们将编写一个非常简单的规则。然而,雅苒语法规则是相当富有(查阅编写雅苒规则指南)。Nessus支持所有3.4雅苒内置中定义的关键字包括PE和精灵子模块。

我编写了一个简单的IRC写规则。写我们的第一个规则,首先检查的一些字符串位于IRC二进制(输出缩短可读性):

正如您可以看到的,二进制字符串包含了一些非常独特的。我们会写我们的第一个规则只使用这些字符串:

上面的规则只会“引发”如果所有五个独特的字符串位于文件。

接下来,我们将使用与Nessus规则文件。

配置Nessus

选择你的扫描目标和命名扫描之后,第一步是配置Windows凭据。Nessus恶意软件扫描文件系统运行在WMI所以我们必须有这个配置。我的扫描仪就是这个样子:

接下来,我们将使雅苒插件。要做到这一点,您必须启用插件59275(恶意进程检测)和91990(恶意文件检测使用雅苒)。你可以很容易地找到插件使用高级搜索功能和设置恶意软件等于事实。插件将位于窗户插件的家庭。

最后,我们将上传YARA规则并选择目录扫描。我们可以通过去恶意软件设置在评估菜单。如果扫描文件系统设置为启用,您可以通过单击添加一个雅苒规则文件添加文件链接。在下图中,我上传文件tenable_bot_rules.yar新创建的规则。我选择扫描% ProgramFiles (x86)的目录运行扫描。

这些步骤完成后,我们可以开始扫描。

获取结果

四分钟后,扫描完成。我们可以看到,在目标被发现的东西:

我们可以看到,ircbot_v1钻下来。exe匹配我们的规则Tenablebot在C: \ Program Files \ dontlookhere \ (x86)。的二进制甚至连在扫描。

使用更多的规则

Nessus只接受一个规则文件扫描,所以所有的规则都必须包含在一个文件中。规则应该列一个接一个。

举个例子,假设我们听到一个谣言,我们的示例IRC被挤满了UPX击败静态分析。我们可以添加一个新规则的规则文件检查UPX的迹象。具体来说,这一规则将被触发,如果前两个体育部分名称“UPX0”和“UPX1”。

如果我们上传更新雅苒规则文件并重新扫描目标,我们发现包装UPX二进制!