florentino

Florentino는 소설 전사의 이름을 따서 명명되었습니다.

Flarentino : "I'd wear a fedora but they haven't invented them yet"

향수의 집으로의 유일한 상속인으로서 Florentino의 낭만적 인 모험은 그의 호화로운 공만큼 잘 알려져있었습니다 ....

Florentino : "Ah... relationships are such a bother"

Florentino는 크로스 플랫폼 파일 분석 프레임 워크입니다. MOLWARES 및 알려지지 않은 파일 분석에서 정적 자원을 추출하는 데 유용합니다.

그는 맬웨어 분석가와 보안 연구원들이 알 수없는 파일을 신속하게 한 눈에 띄게하도록 도울 수 있습니다. 그러나 그는 큰 전쟁에서만 이길 수는 없습니다. 그래서 그는 친구들이 나쁜 놈들과 싸우도록 도와달라고 요구합니다. 그래서 그는이 친구들 (크레딧)이라고 부릅니다.

• 골랑
• 주사위
• iocextract
• virustotal
• 풀솜
• 문자열

그들 없이는 처음부터 잃어버린 전쟁이었습니다.

알려지지 않은 파일을 분석 할 때마다 Florentino가 거의 동일한 몇 가지 단계가 있습니다. Florentino는 이러한 지루한 단계 중 일부를 자동화하여 분석가가 수동 및 동적 분석으로 더 빠르게 움직일 수 있습니다.

Florentino : "Flowers, women – I desire all that is beautiful."

Florentino는 Go에 쓰여졌 고 빠릅니다!. 체인의 다른 도구 전에 실행하여 대상 파일을 잘 이해할 수 있습니다. 대부분의 경우 파일이 악의적인지 아닌지를 결정하는 데 필요한 전부입니다!

1- 파일 감지 엔진

Die 덕분에 Florentino는 수백 개의 파일 유형을 감지 할 수 있습니다.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

파일 감지 외에 엔트로피 및 패커 감지도 수행되었습니다.

2- 스캔 엔진

Florentino는 파일을 분석하기 위해 다양한 소스를 작동시킬 수 있습니다.

• Virustotal : 기존 보고서를 확인합니다
• 문자열과 IOC 스캔 : Florentino를 가져갑니다. 또한 바이너리 파일에서 문자열을 추출, 스캔 및 Deobfuscate.
• 바이너리 스캔 : Florentino는 PE X86/X64, Macho X86/X64, ELF X86/X64 파일에서 작업 할 수 있습니다.

3- 패커 감지 및 포장 풀기

• 현재 PE X86 파일 만 지원합니다
• 포장 풀기 : unpac.me

4- 보고서

• 모든 보고서는 /데이터 디렉토리의 텍스트 파일로 저장됩니다.

Florentino는 역전 스위트가 아니며 유일한 목표는 첫 번째 분석을 고정시키는 것뿐입니다. Florentino는 모듈 식이며 자신의 도구로 쉽게 확장 할 수 있습니다.

Flarentino : Fairest ladies, my lips are like whatever I finish this later ...

1.0.1- 알파

Flarentino : "You have bad form my friend."

/docs/readme.md에서 문서를 확인하십시오

Ryuk이라는 수백만 달러의 랜섬웨어에 대해 Florentino를 실행합시다.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

1 분 정도 후에 /데이터 폴더를 확인합니다

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• 이제 3 분도 채 안되어 이미 랜섬웨어를 알고 있으며 포장되지 않았으며, 난독 화 된 문자열의 첫 번째 층을 해독했으며 이미 지속성 방법을 추출했습니다.
• 이것이 생산 준비가되지 않았다는 것을 고려하십시오.이를 공개하는 요점은 비슷한 결과를 달성 할 수있는 방법을 보여주는 것입니다. 코드는 크게 향상 될 수 있습니다.

플로렌 티노 : "HaHa, A wonderful day for a duel among gentlemen."

• 모듈을 추가하거나 무언가를 수정 한 다음 요청을 가져옵니다.
• 끝없는 개선 가능성 :
  • 웹 UI를 추가하십시오
  • 관계형/NOSQL 데이터베이스에 연결하십시오
  • 각 바이너리를 가장 깊은 세부 사항으로 구문 분석하십시오
  • R2를 분해 할 수 있도록 통합하십시오
  • ...
• 당신이 그것을 사용할 수 있다고 믿는 사람과 공유하십시오.
• 추가 작업을 수행하고 연구 결과를 커뮤니티와 공유하십시오 ♥

맬웨어는 테슬라 요원의 이야기와 싸우고 있습니다

멋진 맬웨어 분석

끔찍한 역전

이 프로젝트는 wtfpl 라이센스에 따라 라이센스가 부여됩니다.