florentino

Florentino ist nach einem Fiktionkrieger benannt.

Flarentino: "I'd wear a fedora but they haven't invented them yet"

Als einziger Erbe des Hauses des Parfüms waren Florentinos romantische Abenteuer so bekannt wie seine verschwenderischen Bälle ....

Florentino: "Ah... relationships are such a bother"

Florentino ist ein plattformübergreifender Dateianalyse-Framework. Nützlich zum Extrahieren statischer Ressourcen aus Malwares und unbekannte Dateianalyse.

Er kann Malware -Analysten und Sicherheitsforschern helfen, schnell einen Blick auf eine unbekannte Datei zu werfen. Er kann jedoch keinen großen Krieg alleine gewinnen; Deshalb fordert er seine Freunde auf, beim Kampf gegen Böse zu helfen. Also ruft er diese Freunde (Credits) an:

• Golang
• STERBEN
• iocextract
• Virustotal
• Zahnseide
• Saiten

Ohne sie war es von Anfang an ein verlorener Krieg.

Jedes Mal, wenn wir eine unbekannte Datei analysieren möchten, gibt es einige Schritte, die fast identisch sind, dass Florentino einige dieser langweiligen Schritte automatisieren, damit sich ein Analytiker mit manueller und dynamischer Analyse schneller bewegen kann.

Florentino: "Flowers, women – I desire all that is beautiful."

Florentino ist in Go geschrieben und es ist schnell!. Sie können es vor einem anderen Tool in Ihrer Kette ausführen, um ein gutes Verständnis für Ihre Zieldatei zu erhalten. Meistens müssen Sie feststellen, ob eine Datei böswillig ist oder nicht!

1- Dateierkennungsmotor

Dank der Die kann Florentino Hunderte von Dateitypen erkennen.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

Neben der Dateierkennung, Entropie und Packer -Erkennung wurden auch durchgeführt.

2- SCAN-Motor

Florentino kann verschiedene Quellen für die Analyse der Datei bearbeiten.

• Virustotal: Wir überprüfen es auf einen vorhandenen Bericht
• Saiten- und IOC -Scan: Florentino nimmt es; Weiter extrahiert, scannen und möglicherweise deobfuscate Zeichenfolgen aus Binärdateien
• Binärer Scan: Florentino kann mit PE X86/X64, Macho x86/x64, ELF x86/x64 -Dateien arbeiten, importierte Symbol und Bibliotheken erhalten

3-Packer-Erkennung und -packung

• Unterstützen Sie derzeit nur PE X86 -Dateien
• Motor auspacken: Unpac.Me

4- Bericht

• Alle Berichte werden als Textdatei in /Datenverzeichnis gespeichert

Bitte beachten Sie, dass Florentino keine Umkehrungssuite ist. Das einzige Ziel ist es nur, die erste Analyse zu befestigen, die Florentino modular und einfach mit Ihren eigenen Werkzeugen ausdehnen kann.

Flarentino: Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-alpha

Flarentino: "You have bad form my friend."

Schauen Sie sich die Dokumentation unter /docs/readme.md an

Lassen Sie uns Florentino mit dem trendigen Millionen -Dollar -Ransomware namens Ryuk führen.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

Nach ungefähr einer Minuten überprüfen wir /Datenordner

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• Jetzt kennen wir in weniger als 3 Minuten bereits seine Ransomware, sie ist nicht gepackt, wir haben die erste Schicht verschleierter Strings entschlüsselt und wir haben bereits die Persistenzmethode extrahiert.
• Bitte beachten Sie, dass dies nicht bereit für die Produktion ist. Der Hauptpunkt der Veröffentlichung besteht darin, Ihnen zu zeigen, wie Sie ähnliche Ergebnisse erzielen können. Der Code kann sich erheblich verbessern.

Florentino: "HaHa, A wonderful day for a duel among gentlemen."

• Fügen Sie ein Modul hinzu oder beheben Sie etwas und ziehen Sie dann die Anfrage ab.
• Die endlose Möglichkeit von Verbesserungen:
  • Fügen Sie eine Web -Benutzeroberfläche hinzu
  • Schließen Sie es mit einer relationalen/NoSQL -Datenbank an
  • Analysieren
  • Integrieren Sie R2 als Disassembles
  • ...
• Teilen Sie es mit wem auch immer Sie glauben können.
• Machen Sie die zusätzliche Arbeit und teilen Sie Ihre Erkenntnisse mit Community ♥

Malware wehrt die Geschichte von Agent Tesla zurück

Fantastische Malwareanalyse

Toll umgekehrt

Das Projekt ist unter der wtfpl -Lizenz lizenziert.