QuickSand - делаем анализ подозрительных вредоносных документов

Делаем анализ подозрительных вредоносных документов с QuickSand

QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтов в потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.

Форматы файлов для использования и активного определения содержимого

  • doc, docx, docm, rtf, etc
  • ppt, pptx, pps, ppsx, etc
  • xls, xlsx, etc
  • mime mso
  • eml email

Форматы файлов для оперативного обнаружения

  • Все перечисленные выше, плюс PDF.
  • Любой формат документа вроде HWP.

Версия Lite — Лицензия Mplv2


Набираем команду codeby webinar

Набираем команду для организации и проведения вебинаров Подробнее ...

  • Ключевой словарь вплоть до 256 byte XOR
  • Поразрядный ROL, ROR, NOT
  • Математический шифр сложения или вычитания
  • Исполняемое извлечение: Windows, Mac, Linux, VBA
  • Поиск эксплойтов
  • Предварительная обработка RTF
  • Извлечение Hex stream
  • Извлечение Base 64 Stream
  • Извлечение встроенного Zip
  • Извлечение ExOleObjStgCompressedAtom
  • Декодирование zLib
  • Декодирование Mime Mso xml
  • Декодирование OpenXML (unzip)
  • Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние

Примеры результатов и больше информации можно получить здесьblog post

Зависимости

  • Yara 3.4+
  • zlib
  • libzip

Быстрый старт

  • ./build.sh
  • ./quicksand.out -h
  • ./quicksand.out malware.doc

<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

Это интересно:



Похожие темы

Книга по Nmap на русском Источник: https://nmap.org/man/ru/ Информация по скриптам Nmap (на английском): https://nmap.org/nsedoc/index.html Самая последня версия док...
Фреймворк для разведки — Recon-ng... Recon-ng это один из лучших инструментов для разведки (!), поэтому он остаётся незаменимым помощником любого пентестера. Интерфейс Recon-ng напоми...
Backdoor Management с Shellstack Здесь речь пойдет о ShellStack – это инструмент на PHP, его предназначением является, менеджмент бэкдоров на целевом сайте. Под словом менеджмент, я...
Как запустить sqlmap на Windows Кстати, о том, как тестировать и взламывать сайты с помощью sqlmap написано в этой статье. А в этой статье, напротив, написано как защищать сайты и ...
Fluxion — профессиональный взломщик WiFi... Перевод: Анна Давыдова Источник: n0where.net Профессиональный взломщик WiFi: Fluxion  Fluxion - переделанный linset, автором которого является...