如何使用DotNet-MetaData识别.NET恶意软件源码文件元数据

于 2024-05-21 18:49:54 发布
阅读量1.1k 收藏 27
点赞数 27
分类专栏: 工具 文章标签: .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/139099882
版权

关于DotNet-MetaData

DotNet-MetaData是一款针对.NET恶意软件的安全分析工具,该工具专为蓝队研究人员设计,可以帮助广大研究人员轻松识别.NET恶意软件二进制源代码文件中的元数据。

工具架构

当前版本的DotNet-MetaData主要由以下两个部分组成:

1、DotNetMetadata.yar:这是一个Yara规则文件,用于将源代码数据显示到终端;

2、DotNetMetadata.py:该脚本负责从.NET源代码文件中提取GUID、MVID、YTPELIB和程序集名称等信息;

工具下载

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/bartblaze/DotNet-MetaData.git

工具使用

DotNetMetadata.yar

DotNetMetadata.yar可以将目标.NET源代码文件的相关数据显示到终端,使用方法如下:

yara64.exe DotNetMetadata.yar c:\fakepath\all_samples

Yara规则需要至少Yara v4.2.0版本以上,因此我们建议广大研究人员从【这里】获取最新的发布版本。

DotNetMetadata.py

DotNetMetadata.py脚本可以从.NET源代码文件中提取GUID、MVID、YTPELIB和程序集名称等信息,该脚本支持在Windows和Linux操作系统上运行,按理来说macOS也应该没有问题。

脚本使用样例如下:

python DotNetMetadata.py c:\fakepath\all_samples -c samples_output.csv

该脚本的正常运行需要使用到pythonnet库,安装命令如下:

pip install pythonnet

然后dnlib.dll文件也应该位于相同目录中。

针对类Linux系统,你还需要使用mono-complete安装Mono,在Ubuntu上可以使用下列命令安装:

sudo apt-get install mono-complete

然后从【这里】获取并编译dnlib,或直接从【这里】下载dnSpy-netframework.zip,然后从bin目录中获取dnlib.dll文件即可。这里建议使用最新版本的dnlib文件。

样本规则

项目提供的“sample rules”目录中包含了相关的检测样本规则,你可以根据自己的需求跟新和修改规则。

输出样例

下面给出的输出样例主要针对的是“Mpyiuepnw”单个文件,即PureLogStealer的其中一个版本,其SHA256哈希如下:

c201449a0845d659c32cc48f998b8cc95c20153bb1974e3a1ba80c53a90f1b27

使用Yara规则

$ yara64.exe DotNetMetadata.yar c:\fakepath\Mpyiuepnw.vir

Original Filename: Mpyiuepnw.exe

Internal Name: Mpyiuepnw.exe

Imphash (use with caution): f34d5f2d4577ed6d9ceec516c1f5a744

Compile timestamp (epoch): 1710224522

Module name: Mpyiuepnw.exe

Assembly name: Mpyiuepnw

Typelib: 856e9a70-148f-4705-9549-d69a57e669b0

# of GUIDs: 1

dotnet.guid: 0

 -> guid (MVID) = 9066ee39-87f9-4468-9d70-b57c25f29a67

# of streams: 5

# of resources is: 9

dotnet.resource: 0

 -> name = Rdfeunq.Properties.Resources.resources

 -> offset = 715528

 -> length = 2818774

dotnet.resource: 1

 -> name = Mpyiuepnw.Attributes.WrapperManager.resources

 -> offset = 3534306

 -> length = 180

dotnet.resource: 2

 -> name = Mpyiuepnw.Collections.ImporterHelperCollection.resources

 -> offset = 3534490

 -> length = 180

dotnet.resource: 3

 -> name = Mpyiuepnw.Roles.ConfigOrderRole.resources

 -> offset = 3534674

 -> length = 2932

dotnet.resource: 4

 -> name = Mpyiuepnw.Roles.CodeManager.resources

 -> offset = 3537610

 -> length = 2933

dotnet.resource: 5

 -> name = NAudio.Pages.TemplateAuthenticationPage.resources

 -> offset = 3540547

 -> length = 180

dotnet.resource: 6

 -> name = Mpyiuepnw.Roles.SchemaManager.resources

 -> offset = 3540731

 -> length = 2936

dotnet.resource: 7

 -> name = Mpyiuepnw.Polices.SingletonSingleton.resources

 -> offset = 3543671

 -> length = 180

dotnet.resource: 8

 -> name = NAudio.Common.PrototypeSingleton.resources

 -> offset = 3543855

 -> length = 180

# of module references: 7

# of strings: 710

使用Python脚本

单个文件

$ python DotNetMetadata.py c:\fakepath\Mpyiuepnw.vir

File: c:\fakepath\Mpyiuepnw.vir

  Assembly Name: Mpyiuepnw

  MVID: 9066ee39-87f9-4468-9d70-b57c25f29a67

  GUID: 856e9a70-148f-4705-9549-d69a57e669b0

目录

$  python DotNetMetadata.py c:\fakepath\quasar

File: c:\fakepath\quasar\02f0a7f184fcdaaa4d9a46ca29712c8daae0a46d2038bd362dc818025df8d553.vir

  Assembly Name: Client

  MVID: 60f5dce2-4de4-4c86-aa69-383ebe2f504c

  GUID: None

 

File: c:\fakepath\quasar\0790bb235f27fa3843f086dbdaac314c2c1b857e3b2b94c2777578765a7894a0.vir

  Assembly Name: spoolsv

  MVID: fb86b5ea-fecf-4314-9908-dfb44a648349

  GUID: ab37fd48-1226-4126-b12d-dea3361fb533

 

File: c:\fakepath\quasar\07f103ec9f4cf73a1ea534a7b1fed490045e8611c14cb66dfe8784f01ea63e5c.vir

  Assembly Name: Client

  MVID: 60f5dce2-4de4-4c86-aa69-383ebe2f504c

  GUID: None

 

File: c:\fakepath\quasar\0847a32772909b1685150473294dccd837d8ab3bf8d3a42fc75e8402c8fa9237.vir

  Assembly Name: Client

  MVID: 41eb6d08-2e57-46a1-826d-1b6049ebf6a6

  GUID: None

 

File: c:\fakepath\quasar\1332bb84dff1a55902b5eb2c76988f94a9edf4727d2c79871c47858b270f0856.vir

  Assembly Name: jkepkr

  MVID: da2e26cb-0ca3-474a-8fb6-08aa7ff3de20

  GUID: None

 

File: c:\fakepath\quasar\14b67f3273192e061b04c05bb81aea8794f58a856b762006fb2359f55230327c.vir

  Assembly Name: led注Sbm

  MVID: c4653540-cdba-4dba-965f-6b232d0313d8

  GUID: None

 

File: c:\fakepath\quasar\15931de8e192e8932d881c6d450d52090f92f9b5e9f0f0b903cc5ec033b58b54.vir

  Assembly Name: Client

  MVID: 60f5dce2-4de4-4c86-aa69-383ebe2f504c

  GUID: None

CSV输出样例

表格

文件名

程序集名称

GUID

MVID

c:\fakepath\quasar\02f0a7f184fcdaaa4d9a46ca29712c8daae0a46d2038bd362dc818025df8d553.vir

Client

None

60f5dce2-4de4-4c86-aa69-383ebe2f504c

c:\fakepath\quasar\0790bb235f27fa3843f086dbdaac314c2c1b857e3b2b94c2777578765a7894a0.vir

spoolsv

ab37fd48-1226-4126-b12d-dea3361fb533

fb86b5ea-fecf-4314-9908-dfb44a648349

c:\fakepath\quasar\07f103ec9f4cf73a1ea534a7b1fed490045e8611c14cb66dfe8784f01ea63e5c.vir

Client

None

60f5dce2-4de4-4c86-aa69-383ebe2f504c

c:\fakepath\quasar\0847a32772909b1685150473294dccd837d8ab3bf8d3a42fc75e8402c8fa9237.vir

Client

None

41eb6d08-2e57-46a1-826d-1b6049ebf6a6

c:\fakepath\quasar\1332bb84dff1a55902b5eb2c76988f94a9edf4727d2c79871c47858b270f0856.vir

jkepkr

None

da2e26cb-0ca3-474a-8fb6-08aa7ff3de20

c:\fakepath\quasar\14b67f3273192e061b04c05bb81aea8794f58a856b762006fb2359f55230327c.vir

led注Sbm

None

c4653540-cdba-4dba-965f-6b232d0313d8

c:\fakepath\quasar\15931de8e192e8932d881c6d450d52090f92f9b5e9f0f0b903cc5ec033b58b54.vir

Client

None

60f5dce2-4de4-4c86-aa69-383ebe2f504c

CSV

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

DotNet-MetaData:【GitHub传送门

参考资料

Releases · VirusTotal/yara · GitHub

GitHub - 0xd4d/dnlib: Reads and writes .NET assemblies and modules

GitHub - dnSpyEx/dnSpy: Unofficial revival of the well known .NET debugger and assembly editor, dnSpy

恶意软件狩猎新途径:使用.NET元数据分析跟踪恶意软件 - FreeBuf网络安全行业门户

FreeBuf-
关注
  • 27
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
如何使用NoMore403在网络安全评估中绕过HTTP 40X错误
06-14 444
如需修改或添加新的绕过策略,可以直接修改项目目录中payloads文件夹内的Payload,nomore403将自动应用并部署修改的策略。
博客
深度解析 | “透明部落(APT36)”持续攻击印度政府、国防部门
06-14 500
武器基于 Python 的 ELF 和 PE 格式文件窃取程序、混淆 shell 脚本、Poseidon 代理、Telegram RAT、Go-Stealer攻击载体鱼叉式网络钓鱼、恶意 ISO、ZIP 压缩包、恶意链接、ELF 下载器、使用 HTTrack 网站复制器窃取凭证网络基础设施网络服务:Telegram、Google Drive 和 Discord、Hostinger International Limited、Contabo GmbH、NameCheap, Inc。
博客
Dorkish:一款针对OSINT和网络侦查任务的Chrome扩展
06-13 551
1、使用包含关键字的构建器过滤你的Google搜索结果;2、提供针对漏洞奖励计划提供预构建Dork;3、提供针对漏洞奖励计划的网络侦查阶段提供预构建Dork;4、提供针对公开文件和目录的预构建Dork;5、提供针对网络安全任务的预构建Dork;6、提供针对登录和注册门户的预构建Dork;
博客
生成式人工智能是DevSecOps的福音还是噩梦?
06-13 357
从长远来看,随着Gen-AI代码生成器的改进,它们确实有可能提高整体软件安全性。问题是,我们将到达一个危险的拐点,当Gen-AI引擎和模型达到能够持续生成相当不错的代码的程度时,开发团队将面临压力,因为有些人会认为“相当不错”就就足够了。而正是因为如此,漏洞才更有可能在未被发现和修复的情况下影响产品安全。这就是危险区域。只要开发人员和管理人员保持适当的怀疑和谨慎,那么Gen-AI就会成为一种有效工具。当谨慎程度下降时,就会变得危险。
博客
威胁预警 | Anatsa 银行木马被下载超过数万次
06-12 614
Anatsa 是已知的安卓银行木马,针对全球超过 650 各金融机构的应用程序进行窃密,主要受害者都在欧洲。原来主要针对美国和英国的银行应用程序,后续进一步将攻击目标扩大到德国、西班牙、芬兰、韩国与新加坡的银行应用程序。Anatsa 银行木马在安装时看起来人畜无害,但安装后应用程序会从 C&C 服务器下载恶意 Payload,以更新的名义进入受害者的手机。这种方式使得恶意软件可以绕过安全检测,堂而皇之地上传到 Google Play 供用户下载。
博客
SwaggerSpy:一款针对SwaggerHub的自动化OSINT安全工具
06-12 663
而SwaggerHub则是一个使用Swagger框架设计、构建和管理API的协作平台。它为API文档、版本控制和团队成员之间的协作提供了一个集中的存储库。SwaggerHub通过为API设计和测试提供统一的平台,简化了API开发生命周期。
博客
VirtFuzz:一款基于VirtIO的Linux内核模糊测试工具
06-11 730
VirtFuzz是一款功能强大的Linux内核模糊测试工具,该工具使用LibAFL构建,可以利用VirtIO向目标设备的内核子系统提供输入测试用例,广大研究人员可以使用该工具测试Linux内核的安全性。最后,VirtFuzz的正常工作还需要一个修补的内核,因此,我们可以拉取一个内核版本并应用我们的补丁。此时,模糊测试器会通过mac802.11_hwsim驱动程序对802.11栈运行两个测试实例。在开发过程中,我们还提供了一些选项来支持自定义模糊测试任务。1、virtfuzz-fuzz:模糊测试器。
博客
AI助力密码安全:利用机器学习提升密码安全性
06-11 502
密码安全是网络安全的基础,机器学习技术可以作为增强密码安全性的强大工具。通过创建能够执行密码分类的机器学习模型,可以帮助社区进一步提升对密码安全性的认知,并强调创建安全密码的重要性。
博客
swaggerHole:针对swaggerHub的公共API安全扫描工具
06-07 815
swaggerHole是一款针对swaggerHub的API安全扫描工具,该工具基于纯Python 3开发,可以帮助广大研究人员检索swaggerHub上公共API的相关敏感信息,整个任务过程均以自动化形式实现,且具备多线程特性和管道模式。-de, --deactivate_email:不激活email过滤功能(会增加假阳性);-q, --quiet:静默模式,移除Banner;-o OUT, --out OUT:设置输出目录;-h, --help:显示工具帮助信息和退出;本项目的开发与发布遵循。
博客
Windows取证分析 | 如何最大程度提升分析效率
06-07 788
内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如:1、建立的网络链接;2、仅在内存中的恶意软件;3、加密密钥;4、用户凭证。从零开始处理内存映像可能会非常具有挑战性,因为这种处理方式要求分析人员对目标操作系统的内存布局和数据结构有深入的了解,但幸运的是,社区有一些工具可以为我们解析这些数据结构,并为我们提供所需的最终结果。这样一来,我们就可以将注意力放到最重要的部分,即我们实际想要看到的内容,以及如何通过内存取证分析达到我们的最终目标。
博客
微软新AI工具 Recall 被白帽公开锤了?
06-06 435
2024年5月21日,微软发布全新的“Copilot+PC”,这类 AI PC 通过与高通的最新芯片合作,实现了一个叫做“Recall”的功能。工具推出后,鉴于其扫描并保存电脑屏幕的定期截图,有可能暴露敏感数据,例如密码或财务信息等,引起了网络安全专家对其安全和隐私的担忧。值得一提的是,微软方面表示,公司内部的工具捕获的信息是高度加密的,没有人可以非法访问这些数据信息。对此, Kevin Beaumont 很快就指出微软的说法是假的,并公布了一段视频,视频中两名微软工程师访问了包含图片的文件夹。
博客
WEB-Wordlist-Generator:为扫描后的Web应用生成相关联的字典
06-06 990
当前版本的WEB-Wordlist-Generator支持扫描下列文件内容:1、扫描静态文件;2、扫描公开文档的元数据,包括pdf、doc、xls、ppt、docx、pptx、xlsx等;3、基于通过参数给定的字典文件,创建一个与目标Web应用相关联的新字典;
博客
保护关键业务资产的四个步骤
06-05 1168
提到 “关键资产 ”,相信大家并不陌生,它是企业 IT 基础设施中对组织运作至关重要的技术资产。如果这些资产(如应用服务器、数据库或特权身份)出现问题,势必会对企业安全态势造成严重影响。但每项技术资产都被视为关键业务资产吗?你对关键业务资产的风险真正了解多少?关键业务资产指的是企业的基础技术资产,而技术只是企业成功运营所需的三大支柱之一。为了实现完整的网络安全治理,应考虑以下因素: 1)技术;2)业务流程;3)关键人员。
博客
LeakSearch:针对网络公开凭证的安全扫描与检测工具
06-05 1382
1、使用ProxyNova COMB数据库进行在线搜索;2、支持自定义关键字搜索;3、设置显示结果的数量限制;4、输出结果可选项:直接在终端上显示或者保存到JSON或TXT文件中;5、支持HTTP/S代理,保护你的网络活动;
博客
SploitScan:一款多功能实用型安全漏洞管理平台
06-04 1226
当前版本的SploitScan支持下列功能:1、CVE信息检索:从国家漏洞数据库获取CVE详细信息;2、EPSS集成:包括利用预测评分系统(EPSS)数据,为CVE利用的可能性提供概率评分,有助于确定漏洞优先级;3、公共漏洞信息聚合:收集公开可用的漏洞及其相关信息,帮助研究人员更好地了解漏洞的信息;4、CISA KEV:显示CVE是否已列入CISA的已知可利用安全漏洞(KEV)中;5、修复优先级系统:根据包括公共漏洞可利用性在内的各种因素,评估并分配漏洞修复的优先级;
博客
国际货币基金组织警告:网络攻击影响全球金融稳定
06-04 808
在过去的二十年中,特别是自2020年以来,与网络相关的事件变得越来越频繁,尤其是具有恶意意图的网络事件数量(例如网络勒索或恶意数据泄露)与COVID-19大流行之前相比几乎翻了一番(见图1)。【图1:2004–23全球网络事件数量走势】网络事件会给企业带来巨大的成本。自2020年以来,上报的网络事件直接损失总额已达近280亿美元(按实际价值计算),数十亿条记录被盗或泄露(见图2)。然而,这些事件的总直接和间接成本很可能还要高得多,估计占全球GDP的1%至10%。
博客
AzSubEnum:针对Azure服务的子域名枚举查询工具
06-03 820
AzSubEnum主要通过利用DNS解析技术和系统排列组合方法来尝试识别与Azure服务相关的子域名信息,例如Azure应用程序服务、存储帐户、Azure数据库(包括MSSQL、Cosmos DB和Redis)、密钥库、CDN、电子邮件、SharePoint和Azure容器注册表等。在该工具的帮助下,广大研究人员可以在目标Azure环境中执行完整详尽的子域名枚举任务,以提供深入了解Azure服务及其相关子域名概况的广阔视角。-b BASE, --base BASE 要使用的种子名称。
博客
新型 Meterpreter 后门能够在图片中隐藏恶意代码
05-31 438
据Cyber Security News消息,ANY.RUN 沙盒分析了一种被称为Meterpreter 的新型后门恶意软件,能利用复杂的隐写技术将恶意有效载荷隐藏在看似无害的图片文件中。基于Meterpreter的攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始,该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片,该图片可以是一张景色秀丽的风景画,但却隐藏着恶意脚本。
博客
SNCScan:针对SAP安全网络通信(SNC)的安全分析与评估工具
05-31 1185
该响应中包含了SAP系统针对SNC连接的要求,并且能将其用于获取SNC参数,并检查目标SAP系统是否启用了SNC,以及设置了哪些SNC参数。SNCScan是一款针对SAP安全网络通信(SNC)的安全分析与评估工具,该工具旨在帮助广大研究人员分析SAP安全网络通信(SNC),并分析和检测SNC配置与SAP组件中的潜在问题。SNC还提供了其他的参数来处理针对系统的配置选项,比如snc/only_encrypted_gui参数,该参数可以确保强制加密SAPGUI连接。3、机密性保护:对传输的数据进行加密;
博客
jsmug:一个针对JSON Smuggling技术的测试PoC环境
05-30 946
根据JSON文档的官方定义,JSON文件中的某些位置允许使用被称为不重要字节的字节数据来传输内容。这些所谓不重要的字节在JSON文档中没有任何的意义,因此会被jq之类的JSON解析工具直接忽略。上图中的数据显示了原始字节是如何以Base4表示的,接下来这些Base4字节被映射到它们各自的“不重要字节”的部分。这些字节本身就不起眼,甚至根本就不是肉眼可见的,而且JSON解析器也会直接忽略这些字节,因此这4个字节可以用来编码任意数据或文件。0x09(水平制表符)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值