文章来源:台下言书
前言
每次出去做应急都能碰到各种各样的恶意软件、webshell,有的运气好能在网上遇到大神对该样本的分析文章,这样处理起来就会比较高效。运气不好网上找不到,只能自己去做分析了,比较耗时。而一个恶意软件,就拿碰到最多的挖矿系列来说,基本上都是有下载器、守护程序、释放的主程序、横向程序等多个文件,分布在系统的不同位置。还有就是webshell,找起来同样十分困难。在之前的历史文章中推送了一篇:whohk,一款强大的linux应急响应辅助工具其中webshell检测和恶意软件检测模块,就是本文所要讲的内容。在whohk这款工具中,webshell检测和恶意软件检测模块所采用的基于yara规则的静态检测。什么是yara?这个后面会讲到。因为whohk是Linux下的应急响应辅助工具,为什么没有windows下呢,从我自己日常帮客户做应急的时候,Windows下不论是查杀恶意软件还是webshell,都有非常棒的工具,如火绒(剑)、D盾等。虽然Linux下也有河马、CloudWalker、SangforWebShellKill、ClamAV、Avria等优秀的工具,但是单一来说,都不太能够满足应急响应的过程,所以便根据了自己的进行需求定制化。本文主要讲的是whohk下的扫描模块,其他不多叙述,whohk的规则库是外置的,也就是说对规则库不太了解的同学可以根据本文来制作扫描规则库,并可直接添加到whohk下使用。yara规则
YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师VictorM.Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。写一个简单的yara例子:rulephp_webshell{meta:description="php_webshell"author="shuoshuren"reference="