Спонсор публикаций BlackDiver

Обучение тестированию на проникновение  - Обучению тестированию на проникновение от BlackDiver. Базовый курс

QuickSand - делаем анализ подозрительных вредоносных документов

Делаем анализ подозрительных вредоносных документов с QuickSand

QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтов в потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.

Форматы файлов для использования и активного определения содержимого

  • doc, docx, docm, rtf, etc
  • ppt, pptx, pps, ppsx, etc
  • xls, xlsx, etc
  • mime mso
  • eml email

Форматы файлов для оперативного обнаружения

  • Все перечисленные выше, плюс PDF.
  • Любой формат документа вроде HWP.

Версия Lite — Лицензия Mplv2



  • Ключевой словарь вплоть до 256 byte XOR
  • Поразрядный ROL, ROR, NOT
  • Математический шифр сложения или вычитания
  • Исполняемое извлечение: Windows, Mac, Linux, VBA
  • Поиск эксплойтов
  • Предварительная обработка RTF
  • Извлечение Hex stream
  • Извлечение Base 64 Stream
  • Извлечение встроенного Zip
  • Извлечение ExOleObjStgCompressedAtom
  • Декодирование zLib
  • Декодирование Mime Mso xml
  • Декодирование OpenXML (unzip)
  • Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние

Примеры результатов и больше информации можно получить здесьblog post

Зависимости

  • Yara 3.4+
  • zlib
  • libzip

Быстрый старт

  • ./build.sh
  • ./quicksand.out -h
  • ./quicksand.out malware.doc

<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

Это интересно:


Спонсор публикаций Cyber-512

Готовим специалиста в области ИБ  - Воспитаем специалиста в области ИБ с нуля до начального уровня. После обучения сможете оказывать услуги по проведению тестирования на проникновение ( легальный хакинг )

Похожие темы

Фреймворк Katana Фреймворк написан на Python, целью его создания является облегчение тестирования на проникновение. Как я успел заметить, фреймворк модульный, до...
Способ для создания сесии с помощью флешки... Здраствуйте, в данной статье я опишу способ для создания сесии с помощью флешки Скачиваем екслпоит. (Вот все версии на которых "поддерживаеться" ек...
Фреймворк по поверхностным атакам обнаружения R... Intrigue-core используется для Интернет разведки (безопасности) и исследования. Замечательный OSINT инструмент с множеством возможностей: встроенной...
Metasploitable3 — умышленно уязвимая машина ... Умышленно уязвимая машина для проведения тестирования на взлом: metasploitable3  Скачать metasploitable3 Metasploitable3 является бесплатной...
Хакерские плагины для Firefox Подобная подборка для Google Chrome в статье "Хакерские плагины для Chrome". Подборка плагинов для тестировщиков на проникновение подс...