florentino

Florentino dinamai prajurit fiksi.

Flarentino: "I'd wear a fedora but they haven't invented them yet"

Sebagai satu-satunya pewaris rumah parfum, petualangan romantis Florentino sama terkenalnya dengan bola mewahnya ....

Florentino: "Ah... relationships are such a bother"

Florentino adalah kerangka analisis file lintas platform. Berguna untuk mengekstraksi sumber daya statis dari Malwares dan analisis file yang tidak diketahui.

Dia dapat membantu para analis malware dan peneliti keamanan dengan cepat mendapatkan pandangan pada file yang tidak diketahui. Dia tidak bisa memenangkan perang besar sendirian; Itu sebabnya dia memanggil teman -temannya untuk membantu melawan orang jahat. Jadi dia menyebut teman -teman ini (kredit):

• Golang
• MATI
• iocextract
• Virustotal
• Benang
• String

Tanpa mereka, itu adalah perang yang hilang sejak awal.

Kapan saja kami ingin menganalisis file yang tidak diketahui, ada beberapa langkah yang hampir identik Florentino bertujuan untuk mengotomatiskan beberapa langkah membosankan ini sehingga seorang analis dapat bergerak lebih cepat dengan analisis manual dan dinamis.

Florentino: "Flowers, women – I desire all that is beautiful."

Florentino ditulis dengan cepat, dan cepat!. Anda dapat menjalankannya sebelum alat lain di rantai Anda untuk mendapatkan pemahaman yang baik dari file target Anda. Sebagian besar waktu, hanya itu yang Anda butuhkan untuk menentukan apakah suatu file berbahaya atau tidak!

1- Mesin Deteksi File

Berkat Die, Florentino dapat mendeteksi ratusan jenis file.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

Selain deteksi file, entropi dan deteksi packer juga dilakukan.

2- mesin pemindaian

Florentino dapat mengerjakan berbagai sumber untuk menganalisis file.

• Virustotal: Kami memeriksanya untuk laporan yang ada
• String dan IOC scan: Florentino mengambilnya; Selanjutnya akan mengekstrak, memindai dan mungkin deobfuscate string dari file biner
• Pemindaian Biner: Florentino dapat bekerja dengan PE x86/x64, Macho x86/x64, elf x86/x64 File yang akan mendapatkan simbol dan perpustakaan yang diimpor

Deteksi dan pembongkaran 3 Packer

• Saat ini hanya mendukung file PE x86
• Mesin Buka Paket: unpac.me

4- Laporkan

• Semua laporan disimpan sebagai file teks di /direktori data

Harap dicatat Florentino bukan rangkaian pembalik dan satu -satunya tujuannya hanya untuk mengikat analisis pertama Florentino adalah modular dan mudah diperluas dengan alat Anda sendiri.

Flarentino: Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-alpha

Flarentino: "You have bad form my friend."

Lihat dokumentasi di /docs/readme.md

Mari kita jalankan Florentino melawan ransomware jutaan dolar yang disebut Ryuk.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

Setelah satu menit atau lebih kami memeriksa /folder data

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• Sekarang dalam waktu kurang dari 3 menit, kami sudah tahu ransomware -nya, itu tidak dikemas, kami mendekripsi lapisan pertama string yang dikaburkan, dan kami bahkan sudah mengekstraksi metode kegigihan.
• Harap pertimbangkan ini belum siap untuk diproduksi, poin utama untuk merilis ini adalah untuk menunjukkan kepada Anda bagaimana Anda dapat mencapai hasil yang serupa. Kode dapat sangat meningkat.

Florentino: "HaHa, A wonderful day for a duel among gentlemen."

• Tambahkan modul atau perbaiki sesuatu dan kemudian tarik permintaan.
• Kemungkinan perbaikan yang tak ada habisnya:
  • Tambahkan UI Web
  • Hubungkan ke database relasional/noSQL
  • Parse setiap biner ke detail terdalamnya
  • Mengintegrasikan r2 sebagai memberikan pembongkaran
  • ...
• Bagikan dengan siapa pun yang Anda yakini dapat menggunakannya.
• Lakukan pekerjaan ekstra dan bagikan temuan Anda dengan komunitas ♥

Malware melawan kisah Agen Tesla

Analisis malware yang luar biasa

Terbalik yang luar biasa

Proyek ini dilisensikan di bawah lisensi wtfpl .