florentino

Florentinoはフィクションの戦士にちなんで名付けられました。

Flarentino： "I'd wear a fedora but they haven't invented them yet"

香水の家の唯一の相続人として、フロレンティーノのロマンチックな冒険は彼の豪華なボールと同じくらい有名でした。

Florentino： "Ah... relationships are such a bother"

Florentinoは、クロスプラットフォームファイル分析フレームワークです。マルウェアから静的リソースを抽出し、ファイル分析が不明なのに役立ちます。

彼は、マルウェアアナリストとセキュリティ研究者が未知のファイルをすばやく一目見られるようにすることができます。しかし、彼は一人で大きな戦争に勝つことはできません。だから彼は彼の友人が悪者と戦うのを手伝うように呼びかけています。だから彼はこれらの友人を（クレジット）と呼びます：

• ゴラン
• 死ぬ
• iocextract
• Virustotal
• フロス
• 文字列

彼らがいなければ、それは最初から失われた戦争でした。

未知のファイルを分析したいときはいつでも、これらの退屈なステップのいくつかを自動化することを目的としているいくつかのステップがあり、アナリストが手動と動的分析でより速く移動できるようにします。

Florentino： "Flowers, women – I desire all that is beautiful."

FlorentinoはGOで書かれています、そしてそれは速いです！チェーン内の他のツールの前に実行して、ターゲットファイルをよく把握できます。ほとんどの場合、ファイルが悪意があるかどうかを判断するために必要なのはそれだけです！

1-ファイル検出エンジン

Dieのおかげで、Florentinoは何百ものファイルタイプを検出できます。

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

ファイルの検出に加えて、エントロピーとパッカーの検出も実行されました。

2-スキャンエンジン

Florentinoは、ファイルを分析するためにさまざまなソースを動作させることができます。

• Virustotal：既存のレポートを確認します
• 文字列とIOCスキャン：Florentinoはそれを取ります。さらに、バイナリファイルから文字列を抽出、スキャンし、場合によっては除去します
• バイナリスキャン：Florentinoは、PE X86/X64、Macho X86/X64、ELF X86/X64ファイルで作業できます。

3-パッカーの検出と開梱

• 現在、PE X86ファイルのみをサポートしています
• エンジンの開梱：unpac.me

4-レポート

• すべてのレポートは /データディレクトリにテキストファイルとして保存されます

Florentinoは逆転スイートではなく、その唯一の目的は、Florentinoがモジュール式であり、独自のツールで簡単に拡張できる最初の分析を固定することだけです。

Flarentino： Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-alpha

Flarentino： "You have bad form my friend."

/docs/readme.mdでドキュメントをご覧ください

Ryukと呼ばれる数百万ドルのランサムウェアに対してフロレンティーノを走らせましょう。

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

1分ほど後に、データフォルダーをチェックします

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• 現在、3分も経たないうちに、ランサムウェアが既に詰まっており、詰め込まれておらず、難読化された文字列の最初の層を復号化し、既に持続方法を抽出しました。
• これは生産の準備ができていないと考えてください。これをリリースする主なポイントは、同様の結果を達成する方法を示すことです。コードは大幅に改善できます。

Florentino： "HaHa, A wonderful day for a duel among gentlemen."

• モジュールを追加するか、何かを修正してからリクエストをプルします。
• 改善の無限の可能性：
  • Web UIを追加します
  • リレーショナル/noSQLデータベースに接続します
  • 各バイナリを最も深い詳細に解析します
  • R2を分解を提供するものとして統合します
  • ...
• あなたがそれを使うことができると信じている人とそれを共有してください。
• 余分な作業を行い、あなたの調査結果をコミュニティと共有してください♥

マルウェアは、エージェントテスラの物語を反撃します

素晴らしいマルウェア分析

すごい反転

このプロジェクトは、 wtfplライセンスの下でライセンスされています。