使用yarGen提取Linux恶意脚本特征

最新推荐文章于 2024-07-12 17:16:02 发布
最新推荐文章于 2024-07-12 17:16:02 发布
阅读量534 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/106539576
版权
本文介绍了如何利用yarGen工具从Linux恶意脚本中半自动化提取Yara规则,以帮助识别8220黑客团伙(StartMiner)的恶意活动。yarGen能生成字符串和opcode特征,通过筛选匹配最多的规则,确定关键特征,如特定字符串、变量和函数名。通过人工检查和优化,可以创建针对特定家族的有效Yara规则,提高检测效率。
摘要由CSDN通过智能技术生成

Linux下的恶意软件多为sh脚本,且由于使用的命令大同小异(均为下载文件、运行进程、创建定时任务、写ssh后门等操作),经常难以分辨恶意sh脚本是属于哪个病毒家族的。遇到这种情况,使用yara规则对恶意脚本进行检测分类是个不错的选择,本文将介绍如何借助yargen实现对Linux恶意脚本特征的半自动化提取。

什么yarGen?

yargen是一个自动化提取yara规则的工具,可以提取strings和opcodes特征,其原理是先解析出样本集中的共同的字符串,然后经过白名单库的过滤,最后通过启发式、机器学习等方式筛选出最优的yara规则,奇热项目地址https://github.com/Neo23x0/yarGen

使用yarGen提取Linux恶意脚本特征

下面以8220黑客团伙(StartMiner)的恶意脚本进行演示

如何提取其yara规则?

首先需要收集该家族每次变种的样本,如下,该家族从2018年8月到现在一直在更新,其特点是脚本大部分都伪装成.jpg后缀。

最低0.47元/天 解锁文章
systemino
关注
【SpringBoot】41、SpringBoot中使用脚本命令启动、停止程序
Asurplus
01-19 21万+
我们经常部署 SpringBoot 应用,一般将应用打包成 jar 包的方式上传至服务器,通过命令启动程序,我们每次都需要去手动敲命令来控制程序的启停,容易出错,我们可以通过脚本的方式,记住一些常用的命令 1、后端启动 nohup java -jar test-1.0.jar > nohup.out 2>&1 & 启动后,并将日志输出到 nohup.out 文件中 2、修改配置启动 nohup java -jar test-1.0.jar --server.port=8081
linux】Shell脚本中While循环的详细用法教程
最新发布
景天科技苑
07-18 2万+
Shell脚本Linux和Unix系统中自动化任务的重要工具,而循环结构则是脚本编程中的核心部分之一。while循环是Shell脚本中最常用的循环之一,它允许脚本在满足特定条件时重复执行一组命令。本文将详细介绍Shell脚本中`while`循环的用法,并通过几个详细的案例来展示其实际应用。
yargen:自动化用于PT Approof的yara规则(perl模块中的CVE)开发的工具
02-05
yargen:自动化用于PT Approof的yara规则(perl模块中的CVE)开发的工具
Linux查看恶意Cron脚本
dong_1997_的博客
04-16 549
/var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*
linux恶意脚本,Dr.Web曝光新型Linux恶意软件 脚本功能极其复杂庞大
weixin_33543395的博客
05-02 225
该木马本身是一个包含 1000 多行代码的巨型 shell 脚本,也是能在受感染的 Linux 系统上执行的第一个文件。它所做的第一件事,就是寻找磁盘上某个具有写入权限的文件夹,这样它就可以复制自己、然后用于下载其它模块。一旦木马在受害系统上站稳了脚跟,就会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个特权提升漏洞中的一种。在获取了 root 权限...
xig,Linux恶意攻击脚本进程之一
Luxuff的博客
10-20 5320
 首先说明一点,当你在搜索"xig"的时候,我可以肯定你的服务器已经被恶意攻击了, 原因很简单:绝大部分都是因为服务器连接密码设置过于简单。 回去改个密码再删删文件什么的基本就解决了,这种小白挖矿程序一般都只是占用服务器资源挖挖矿什么的,其他危害倒不严重。   由于之前我搜索“xig”的时候没遇到什么有针对性的文章,估计是已经很少有人犯这种错误了,但想想还是把细节写出来,引以为戒吧。  ...
Linux 禁止恶意IP脚本
weixin_33881753的博客
06-06 454
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux Shell脚本处理JSON字符串
gmHappy
10-22 3550
在shell使用中, 会遇到处理接口返回的情况, 很大程度上接口返回的是json类字符串。 bash没有专门处理JSON的功能,可以利用Linux系统自带的Python2来处理。 例如某接口: 返回以下JSON结构: { "name": "postgres-qingzhi-connector1", "connector": { "state": "RUNNING", "worker_id": "172.17.0.9:8083" }, "tasks": [ {
linux】Shell 脚本中的 For 循环详细用法教程
景天科技苑
07-12 1万+
Shell 脚本Linux 和 Unix 系统中一种强大的自动化工具,通过编写脚本,用户可以自动执行复杂的任务,提高工作效率。在 Shell 脚本中,循环是一种常用的控制结构,用于重复执行一组命令直到满足特定条件。本文将详细介绍 Shell 脚本中的 For 循环的用法,并通过多个实例来展示其应用。
yarGen, yarGen是YARA规则的生成器.zip
10-10
yarGen, yarGen是YARA规则的生成器 yarGen ______ __ ______ ______/____/__ ____////__ `/___//__/_/__ //_///_/////_//__//// __,/__,_/_/____/
yarGen:yarGen是YARA规则的生成器
04-28
亚尔根 _____ __ _____ _____/ ___/__ ___ / // / _ `/ __/ (_ / -_) _ \ \_, /\_,_/_/ \___/\__/_//_/ /___/ Yara Rule Generator Florian Roth, July 2020, Version 0.23.2 Note: Rules have to be post-processed See this post for details: https://medium.com/@cyb3rops/121d29322282 yarGen是做什么的? yarGen是规则的生成器 主要原理是从恶意软件文件中找到的字符串创建yara规则,同时删除也出现在好软件文件中的所有字符串。 因此,yarGen
Python-一个用于查找相关样品和狩猎的Yara规则发生器
08-12
一个用于查找相关样品和狩猎的Yara规则发生器
linux脚本攻击,恶意shell脚本攻击的方法与预防策略
weixin_26837345的博客
05-01 2658
前言网络安全对于互联网从业者而言,一直是一个重要的、绕不开的话题,PowerShell可以给运维人员带来极大的方便,但同时也是被攻击者盯上的重灾区。想想就非常可怕,攻击的人只要能从远程执行shell脚本,就能执行一些敏感的安全操作,比如篡改重要数据,修改安全配置等。所以我们有必要掌握一些恶意shell脚本攻击的方法与预防策略。PowerShell攻击方法PowerShell攻击方法一般分为两方面:...
自动化生成yara规则工具--yarGen
weixin_47576228的博客
09-01 1778
本篇将简述yarGen的下载和简单的使用方法
恶意脚本代码执行及Linux系统漏洞修复
weixin_43268590的博客
06-16 1456
恶意脚本代码执行及Linux系统漏洞修复
探秘yarGen:智能生成YARA规则的利器
gitblog_00048的博客
05-14 348
探秘yarGen:智能生成YARA规则的利器 yarGen yarGen is a generator for YARA rules 项目地址: https://gitcode.com/gh_mirrors/ya/yarGen ...
linux添加ip白名单_使用yarGen提取Linux恶意脚本特征
weixin_39734184的博客
12-04 199
不同于Windows,Linux下的恶意软件多为sh脚本,且由于使用的命令大同小异(均为下载文件、运行进程、创建定时任务、写ssh后门等操作),经常难以分辨恶意sh脚本是属于哪个病毒家族的。遇到这种情况,使用yara规则对恶意脚本进行检测分类是个不错的选择,本文将介绍如何借助yargen实现对Linux恶意脚本特征的半自动化提取。什么是yargenyargen是一个自动化提取yara规...
自动化规则提取工具--yargen原理分析
安全杂货铺
02-29 2828
yara是用来检测恶意软件的利器,yara规则由特征字符串、特征字节码等元素组成,只要恶意软件包含这些特征元素,就说明该文件是恶意的。但一个一个文件提特征是很耗人力的,所以业界就慢慢出现了一些出色的yara自动化提取工具,yarGen便是其中效果比较好的一个,下面,我们就通过分析该工具的源码,来了解这类工具的原理。 项目地址为:https://github.com/Neo23x0/yarGen ...
Linux链接脚本基础知识详解
Linux下的lds链接脚本基础是指在Linux操作系统下使用lds链接脚本来控制链接过程的基础知识。链接脚本是指控制链接过程的脚本文件,通常以lds作为文件后缀名。链接脚本的主要作用是规定如何将输入文件中的section放...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值