florentino

Florentino lleva el nombre de un guerrero de ficción.

Flarentino: "I'd wear a fedora but they haven't invented them yet"

Como el único heredero de la casa del perfume, las aventuras románticas de Florentino eran tan conocidas como sus lujosas bolas ...

Florentino: "Ah... relationships are such a bother"

Florentino es un marco de análisis de archivos multiplataforma. Útil para extraer recursos estáticos de Malwares y análisis de archivos desconocidos.

Puede ayudar a los analistas de malware e investigadores de seguridad a echar un vistazo rápidamente a un archivo desconocido. Sin embargo, no puede ganar una gran guerra solo; Por eso llama a sus amigos para que ayuden a luchar contra los malos. Entonces él llama a estos amigos (créditos):

• Golang
• MORIR
• IOCEXTRACE
• Virusta
• Seda floja
• Instrumentos de cuerda

Sin ellos, fue una guerra perdida desde el principio.

Cada vez que queremos analizar un archivo desconocido, hay un par de pasos que son casi idénticos a Florentino para automatizar algunos de estos pasos aburridos para que un analista pueda moverse más rápido con un análisis manual y dinámico.

Florentino: "Flowers, women – I desire all that is beautiful."

Florentino está escrito en Go, ¡y es rápido! Puede ejecutarlo antes de cualquier otra herramienta en su cadena para obtener una buena comprensión de su archivo objetivo. La mayoría de las veces, es todo lo que necesita para determinar si un archivo es malicioso o no.

1- Motor de detección de archivos

Gracias a Die, Florentino puede detectar cientos de tipos de archivos.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

Además de la detección de archivos, la detección y la detección de empacadores también se realizan.

2- Motor de escaneo

Florentino puede trabajar varias fuentes para analizar el archivo.

• Virustotal: lo verificamos para un informe existente
• Cordas y escaneo del COI: Florentino lo toma; Además, extraerá, escaneará y posiblemente deobfuscando cadenas de archivos binarios
• Escaneo binario: Florentino puede funcionar con archivos PE x86/x64, macho x86/x64, elf x86/x64 obtendrá símbolo y bibliotecas importados

3- Detección de empacadores y desempaquetado

• Actualmente solo admite archivos PE X86
• Desempacar el motor: impac.me

4- Informe

• Todos los informes se almacenan como un archivo de texto en /directorio de datos

Tenga en cuenta que Florentino no es una suite de inversión y su único objetivo es solo sujetar el primer análisis que Florentino es modular y fácil de extender con sus propias herramientas.

Flarentino: Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-alfa

Flarentino: "You have bad form my friend."

Consulte la documentación en /docs/readme.md

Ejecutemos Florentino contra el ransomware de tendencias de millones de dólares llamado Ryuk.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

Después de un minuto más o menos, verificamos la carpeta /datos

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• Ahora en menos de 3 minutos, ya sabemos su ransomware, no está lleno, desciframos la primera capa de cuerdas ofuscadas, e incluso ya extraemos el método de persistencia.
• Considere que esto no está listo para la producción, el punto principal de lanzar esto es mostrarle cómo puede lograr resultados similares. El código puede mejorar enormemente.

Florentino: "HaHa, A wonderful day for a duel among gentlemen."

• Agregue un módulo o arregle algo y luego extraiga la solicitud.
• La posibilidad interminable de mejoras:
  • Agregue una interfaz de usuario web
  • Conectarlo a una base de datos relacional/nosql
  • Analizar cada binario a sus detalles más profundos
  • Integre R2 como desmontaje
  • ...
• Compártelo con quien crea que puede usarlo.
• Haz el trabajo extra y comparte tus hallazgos con la comunidad ♥

Malware lucha contra la historia del agente Tesla

Análisis de malware impresionante

Inversión impresionante

El proyecto tiene licencia bajo la licencia wtfpl .