Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


QuickSand - делаем анализ подозрительных вредоносных документов

Делаем анализ подозрительных вредоносных документов с QuickSand

QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтов в потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.

Форматы файлов для использования и активного определения содержимого

  • doc, docx, docm, rtf, etc
  • ppt, pptx, pps, ppsx, etc
  • xls, xlsx, etc
  • mime mso
  • eml email

Форматы файлов для оперативного обнаружения

  • Все перечисленные выше, плюс PDF.
  • Любой формат документа вроде HWP.

Версия Lite — Лицензия Mplv2


Codeby Security School от Сodeby

Мы запустили свою онлайн школу по информационной безопасности. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного в курсе Paranoid


  • Ключевой словарь вплоть до 256 byte XOR
  • Поразрядный ROL, ROR, NOT
  • Математический шифр сложения или вычитания
  • Исполняемое извлечение: Windows, Mac, Linux, VBA
  • Поиск эксплойтов
  • Предварительная обработка RTF
  • Извлечение Hex stream
  • Извлечение Base 64 Stream
  • Извлечение встроенного Zip
  • Извлечение ExOleObjStgCompressedAtom
  • Декодирование zLib
  • Декодирование Mime Mso xml
  • Декодирование OpenXML (unzip)
  • Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние

Примеры результатов и больше информации можно получить здесьblog post

Зависимости

  • Yara 3.4+
  • zlib
  • libzip

Быстрый старт

  • ./build.sh
  • ./quicksand.out -h
  • ./quicksand.out malware.doc

Перевод: Анна Давыдова
Источник: n0where.net

Это интересно:


Безопасная сделка с гарантом Сodeby

Гарант является доверенным посредником между Участниками при проведении сделки.​ Услуга сайта «Проведение сделок через Гаранта» предоставляется всем зарегистрированным пользователям codeby.net Подробнее ...


Похожие темы

Поднимаем виртуальную машину для тестирования атак... О руководстве Целевая аудитория Структура Условные обозначения Поддержка Использование имени продукта Необходимые учетные данные Настройка Me...
Parrot Security OS (или ParrotSec) Parrot Security OS (или ParrotSec) - является дистрибутивом GNU / Linux, на основе Debian. Он был спроектирован для того, чтобы выполнять тесты ...
MobSF — фреймворк мобильной безопасности... Перевод: Анна Давыдова Источник: n0where.net Фреймворк мобильной безопасности: MobSF Фреймворк мобильной безопасности Фреймворк мобильной без...
Освоение Kali Linux для тестирования на проникнове... Kali Linux Revealed на русском Откройте для себя Kali Linux Освоение дистрибутива по тестированию на проникновение Рафаэль Херцог, Джим О’Горман ...
Как использовать сканер безопасности NMAP на Linux... Nmap — это бесплатная, с открытым исходным кодом утилита исследования сети и проведения аудита безопасности. Она широко используется в сообщес...