Codeby Market от Сodeby

Мы запустили свой магазин CodebyMarket Equipment for InfoSec. Уже добавили RaspberryAlfa Long-RangeOrange PiArduino и многое другое. Купить Pentesting Devices


QuickSand - делаем анализ подозрительных вредоносных документов

Делаем анализ подозрительных вредоносных документов с QuickSand

QuickSand является компактным фреймворком C для анализа подозрительных вредоносных документов: 1) определение эксплойтов в потоках разных кодировок, 2) поиск и извлечение встроенных исполняемых файлов. Имея возможность находить внедренные спрятанные исполняемые файлы, QuickSand может обнаруживать документы, содержащие уязвимости нулевого дня (zero-day) или неизвестные запутанные эксплойты.

Форматы файлов для использования и активного определения содержимого

  • doc, docx, docm, rtf, etc
  • ppt, pptx, pps, ppsx, etc
  • xls, xlsx, etc
  • mime mso
  • eml email

Форматы файлов для оперативного обнаружения

  • Все перечисленные выше, плюс PDF.
  • Любой формат документа вроде HWP.

Версия Lite — Лицензия Mplv2


Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


  • Ключевой словарь вплоть до 256 byte XOR
  • Поразрядный ROL, ROR, NOT
  • Математический шифр сложения или вычитания
  • Исполняемое извлечение: Windows, Mac, Linux, VBA
  • Поиск эксплойтов
  • Предварительная обработка RTF
  • Извлечение Hex stream
  • Извлечение Base 64 Stream
  • Извлечение встроенного Zip
  • Извлечение ExOleObjStgCompressedAtom
  • Декодирование zLib
  • Декодирование Mime Mso xml
  • Декодирование OpenXML (unzip)
  • Подписи Yara включали: исполняемые файлы, активное содержимое, эксплойты CVE 2014 и более ранние

Примеры результатов и больше информации можно получить здесьblog post

Зависимости

  • Yara 3.4+
  • zlib
  • libzip

Быстрый старт

  • ./build.sh
  • ./quicksand.out -h
  • ./quicksand.out malware.doc

Перевод: Анна Давыдова
Источник: n0where.net

Это интересно:


Безопасная сделка с гарантом Сodeby

Гарант является доверенным посредником между Участниками при проведении сделки.​ Услуга сайта «Проведение сделок через Гаранта» предоставляется всем зарегистрированным пользователям codeby.net Подробнее ...


Похожие темы

THC-Hydra: очень быстрый взломщик сетевого входа в... Программа hydra поддерживает огромное количество служб, благодаря своей быстроте и надёжности она завоевала заслуженную признательность среди тестеров...
Сеть Белого Дома США (White House) была взломана... В то время как несекретные сети были нарушены, чиновники говорят, что нет никаких данных о том, что был получен доступ в секретные сети. Вашингт...
Filebuster — довольно быстрый и гибкий Web F... Довольно быстрый и гибкий Web Fuzzer: Filebuster Filibuster был создан на основе одного из самых быстрых HTTP-классов в мире (PERL) - Furl :: HT...
Onion URL Inspector: ONIOFF В этой статье, я хочу показать небольшой инструмент, написанный на Python, это, сканер, который проверяет Deep Web URL – адреса (.onion). Подробн...
Скрипт для поиска установленных компонентов Joomla... Скрипт Show Me components Joomla написан на perl отсюда и его простота. На данный момент скрипт умеет пробегаться по списку (comdb) компонентов и пр...