Наш канал в telegram канал codeby

Пишем об информационной безопасности, методах защиты информации, о программировании. Не пропускай новости с кодебай, будь в тренде !

  Подробнее ...

QuickSand - делаем анализ подозрительных вредоносных документов

Делаем анализ подозрительных вредоносных документов с QuickSand

QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтов в потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.

Форматы файлов для использования и активного определения содержимого

  • doc, docx, docm, rtf, etc
  • ppt, pptx, pps, ppsx, etc
  • xls, xlsx, etc
  • mime mso
  • eml email

Форматы файлов для оперативного обнаружения

  • Все перечисленные выше, плюс PDF.
  • Любой формат документа вроде HWP.

Версия Lite — Лицензия Mplv2



  • Ключевой словарь вплоть до 256 byte XOR
  • Поразрядный ROL, ROR, NOT
  • Математический шифр сложения или вычитания
  • Исполняемое извлечение: Windows, Mac, Linux, VBA
  • Поиск эксплойтов
  • Предварительная обработка RTF
  • Извлечение Hex stream
  • Извлечение Base 64 Stream
  • Извлечение встроенного Zip
  • Извлечение ExOleObjStgCompressedAtom
  • Декодирование zLib
  • Декодирование Mime Mso xml
  • Декодирование OpenXML (unzip)
  • Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние

Примеры результатов и больше информации можно получить здесьblog post

Зависимости

  • Yara 3.4+
  • zlib
  • libzip

Быстрый старт

  • ./build.sh
  • ./quicksand.out -h
  • ./quicksand.out malware.doc

Перевод: Анна Давыдова
Источник: n0where.net

Это интересно:


Codeby.net совместно с PHDays 8

Объявляют о проведении грандиозного конкурса с умопомрачительными призами ! Получи бесплатно билет на PHDays 8, деньги, футболку с символикой codeby, а так же всеобщий респект и уважение.

Подробнее ...

Похожие темы

Black Mamba — Metasploit Shellcode generator... В этой статье я хочу ознакомить вас с неплохим инструментом для пентестинга под названием Venom 1.0.12 Codename: Black Mamba - Metasploit Shellcod...
Скрипт для поиска установленных компонентов Joomla... Скрипт Show Me components Joomla написан на perl отсюда и его простота. На данный момент скрипт умеет пробегаться по списку (comdb) компонентов и пр...
Facebook Threat Exchange Перевод: Анна Давыдова Источник: n0where.net Facebook Threat Exchange Большинство решений по анализу угроз не являются довольно практичными...
Usploit 2.0-Alpha Привет! В этой статье мы ознакомимся с фреймворком для проведения тестов на проникновение, под названием µSploit Framework... Читать далее >> http...
Получение прав рута на UNIX системе... Тема по получению прав рута через уязвимость SMB на Unix-подобной машине уже была, но уважаемый Vander как-то не до конца раскрыл тему, поэтому она ...