florentino

Florentino est nommé d'après un guerrier de fiction.

Flarentino: "I'd wear a fedora but they haven't invented them yet"

En tant que seul héritier de la maison du parfum, les aventures romantiques de Florentino étaient aussi bien connues que ses somptueuses balles ...

Florentino: "Ah... relationships are such a bother"

Florentino est un cadre d'analyse de fichiers multiplateforme. Utile pour extraire les ressources statiques de Malwares et une analyse de fichiers inconnus.

Il peut aider les analystes de logiciels malveillants et les chercheurs en sécurité à jeter rapidement un coup d'œil à un fichier inconnu. Il ne peut cependant pas gagner une grande guerre; C'est pourquoi il appelle ses amis à aider à combattre les méchants. Il appelle donc ces amis (crédits):

• Golang
• MOURIR
• iocextract
• Virustotal
• Soie
• Cordes

Sans eux, c'était une guerre perdue depuis le début.

Chaque fois que nous voulons analyser un fichier inconnu, il existe quelques étapes qui sont presque identiques Florentino vise à automatiser certaines de ces étapes ennuyeuses afin qu'un analyste puisse se déplacer plus rapidement avec une analyse manuelle et dynamique.

Florentino: "Flowers, women – I desire all that is beautiful."

Florentino est écrit en Go, et c'est rapide !. Vous pouvez l'exécuter avant tout autre outil de votre chaîne pour obtenir une bonne compréhension de votre fichier cible. La plupart du temps, c'est tout ce dont vous avez besoin pour déterminer si un fichier est malveillant ou non!

1- moteur de détection de fichiers

Grâce à Die, Florentino peut détecter des centaines de types de fichiers.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

À côté de la détection de fichiers, de l'entropie et de la détection des emballeurs également effectuées.

2- moteur à balayage

Florentino peut travailler diverses sources pour analyser le fichier.

• Virustotal: nous le vérifions pour un rapport existant
• Strings et scan IOC: Florentino le prend; De plus, il extrait, scannera et éventuellement désobfusquer les chaînes de fichiers binaires
• Analyse binaire: Florentino peut travailler avec PE x86 / x64, macho x86 / x64, fichiers elf x86 / x64 Il obtiendra le symbole et les bibliothèques importées

3- Détection et déballage des emballeurs

• Actuellement, ne prend en charge que les fichiers PE X86
• Déballer le moteur: impac.me

4- Rapport

• Tous les rapports sont stockés sous forme de fichier texte dans / répertoire de données

Veuillez noter que Florentino n'est pas une suite d'inversion et que son seul objectif est uniquement de fixer la première analyse que Florentino est modulaire et facile à étendre avec vos propres outils.

Flarentino: Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-alpha

Flarentino: "You have bad form my friend."

Consultez la documentation sur /docs/readme.md

Coupons à Florentino contre les ransomwares tendances des millions de dollars appelés Ryuk.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

Après une minutes environ, nous vérifions / dossier de données

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• Maintenant, en moins de 3 minutes, nous connaissons déjà ses ransomwares, il n'est pas bondé, nous avons décrypté la première couche de cordes obscurcies et nous avons même déjà extrait la méthode de persistance.
• Veuillez considérer que ce n'est pas prêt pour la production, le point principal de la publication est de vous montrer comment vous pouvez obtenir des résultats similaires. Le code peut considérablement s'améliorer.

Florentino: "HaHa, A wonderful day for a duel among gentlemen."

• Ajoutez un module ou corrigez quelque chose, puis tirez la demande.
• La possibilité infinie d'améliorations:
  • Ajouter une interface utilisateur Web
  • Connectez-le à une base de données relationnelle / NoSQL
  • Analyser chaque binaire à ses détails les plus profonds
  • Intégrer R2 comme fournissent des désassettes
  • ...
• Partagez-le avec qui vous pensez que vous pouvez l'utiliser.
• Faites le travail supplémentaire et partagez vos résultats avec la communauté ♥

Les logiciels malveillants ripostent l'histoire de l'agent Tesla

Analyse des logiciels malveillants impressionnants

Réversion géniale

Le projet est autorisé sous la licence wtfpl .