मैलवेयर-जेल – जावास्क्रिप्ट मालवेयर एनालिसिस के लिए टूल, डीबोफसैशन और पेलोड

मैलवेयर-जेल - जावास्क्रिप्ट मालवेयर एनालिसिस के लिए टूल, डीबोफसैशन और पेलोड एक्सट्रैक्शन

मालवेयर-जेल अर्ध-स्वचालित जावास्क्रिप्ट विश्लेषण, डोबफसकेशन और पेलोड निष्कर्षण के लिए एक सैंडबॉक्स है। यह Node.js. के लिए लिखा गया है

यह किसी भी ऑपरेटिंग सिस्टम पर चलता है। लिनक्स पर विकसित और परीक्षण, Node.js v6.6.0।

ध्यान दें: कुछ ES6 सुविधाओं के उपयोग के कारण, आपको Node.js> = 6.x की आवश्यकता होगी।

मालवेयर-जेल के लिए लिखा गया है नोड का ‘vm’ सैंडबॉक्स। वर्तमान में WScript (Windows स्क्रिप्टिंग होस्ट) संदर्भ को लागू करता है env / wscript.js , कम से कम अक्सर मैलवेयर द्वारा उपयोग किए जाने वाले भाग। इंटरनेट ब्राउज़र संदर्भ आंशिक रूप से कार्यान्वित किया जाता है env / browser.js

मालवेयर-जेल कैसे स्थापित करें

आपको Node.js और npm स्थापित करने की आवश्यकता होगी। क्योंकि मैलवेयर-जेल को न्यूनतम, आइकनव-लाइट और एंटिटीज के शीर्ष पर बनाया गया है।

गिटहब से खींचो

गिट के साथ स्रोत खींचो:

फिर सभी आश्रितों (न्यूनतम, इकाइयां, आइकनव-लाइट) के साथ स्थापित करें:

प्रयोग

उदाहरण फ़ोल्डर में आपको एक निष्क्रिय मैलवेयर फ़ाइल मिल सकती है। विश्लेषण को इसके साथ चलाएँ:

इंटरनेट ब्राउज़र आधारित मैलवेयर जिसके साथ आप परीक्षण कर सकते हैं

विश्लेषण के अंत में पूरा सैंडबॉक्स संदर्भ एक ‘में फेंक दिया जाता हैsandbox_dump_after.json‘फ़ाइल।

आप निम्न प्रविष्टियों की जांच करना चाहते हैं ‘sandbox_dump_after.json‘:

  • eval_calls – सभी eval की सरणी () कॉल आर्ग्युमेंट्स। उपयोगी (यदि) deobfucation के लिए प्रयोग किया जाता है।
  • wscript_saved_files – सभी फ़ाइलों की सामग्री जिसे मैलवेयर ने छोड़ने का प्रयास किया। वास्तविक फ़ाइलों को आउटपुट / डायरेक्टरी में भी सहेजा जाता है।
  • wscript_urls – वे सभी URL जो GET या POST के लिए मैलवेयर थे।
  • wscript_objects – WScript या ActiveX ऑब्जेक्ट बनाए गए।

sandbox_dump_after.jsonJSON-js / cycle.js द्वारा कार्यान्वित JSONPath का उपयोग करता है, एक ही ऑब्जेक्ट के डुप्लिकेट या चक्रीय संदर्भों को बचाने के लिए।

नमूना आउटपुट

उपरोक्त उदाहरण में पेलोड को आउटपुट / _TEMP__49629482.dll और आउटपुट / _TEMP__38611354.pdf में निकाला गया है

उदाहरण

मैलवेयर फ़ोल्डर में वास्तविक दुनिया के मैलवेयर नमूने हैं। उनमें से ज्यादातर से डाउनलोड किया https://malwr.com

उदाहरण: विलेन का विश्लेषण। जे.एस.

Malwr.com से दुर्भावनापूर्ण स्क्रिप्ट लेना: Wileen.js

जाहिरा तौर पर मैलवेयर निष्पादित नहीं करता है अगर एक ब्राउज़र के भीतर से चलाया जाता है:

इसलिए आप एक वैकल्पिक विन्यास फिल्म का उपयोग करना चाह सकते हैं जो ब्राउज़र / DOM घटकों को लोड नहीं करता है:

Powershell का दिलचस्प उपयोग:

उदाहरण: विश्लेषण ORDER-10455.js

दुर्भावनापूर्ण जावास्क्रिप्ट को malwr.com से लेना: आदेश-10455.js

पहले दूरस्थ सर्वर के साथ बातचीत के बिना चला:

आपको कुछ ऐसा मिलता है:

अंत में एक exe बाइनरी को डाउनलोड करने और उस पर अमल करने के लिए deobfuscation का “मानक” व्यवहार प्रतीत होता है।

यदि हम वास्तविक पेलोड प्राप्त करना चाहते हैं, तो इसे ‘–down = y’ के साथ चलाएं:

उदाहरण: विश्लेषण करना Norri.js

दुर्भावनापूर्ण जावास्क्रिप्ट को malwr.com से लेना: Norri.js

Daud:

आपको मिला:

व्यवहार लॉग से स्पष्ट है। पेलोड को आउटपुट / TemporaryFolder_TempFile में निकाला गया है[15] फ़ाइल।

उदाहरण: विश्लेषण एंगलर ई.के.

डाउनलोड करें और एक pcap फ़ाइल से Angler EK निकालें एंग्लर ईके सेन्टोवाल में मालवेयर / angler / angler_full.html

गैर एंगलर भाग को स्ट्रिप करें और इस तरह सेव करें मालवेयर / angler / angler_stripped.html

हटाना