florentino

Florentino recebeu o nome de um guerreiro de ficção.

Flarentino: "I'd wear a fedora but they haven't invented them yet"

Como o único herdeiro da Casa do Perfume, as aventuras românticas de Florentino eram tão conhecidas quanto suas bolas luxuosas ....

Florentino: "Ah... relationships are such a bother"

Florentino é uma estrutura de análise de arquivos de plataforma cruzada. Útil para extrair recursos estáticos de malwares e análise de arquivos desconhecidos.

Ele pode ajudar analistas de malware e pesquisadores de segurança a dar uma olhada rapidamente em um arquivo desconhecido. Ele não pode ganhar uma grande guerra sozinha; É por isso que ele pede que seus amigos ajudem a lutar contra bandidos. Então ele chama esses amigos (créditos):

• Golang
• MORRER
• iocextract
• VIRUSTOTAL
• Fio dental
• Cordas

Sem eles, foi uma guerra perdida desde o início.

Sempre que queremos analisar um arquivo desconhecido, existem algumas etapas que são quase idênticas que o Florentino visa automatizar algumas dessas etapas chatas para que um analista possa se mover mais rápido com a análise manual e dinâmica.

Florentino: "Flowers, women – I desire all that is beautiful."

Florentino está escrito em Go, e é rápido!. Você pode executá -lo antes de qualquer outra ferramenta em sua cadeia para obter uma boa compreensão do seu arquivo de destino. Na maioria das vezes, é tudo o que você precisa para determinar se um arquivo é malicioso ou não!

1- mecanismo de detecção de arquivo

Graças ao Die, Florentino pode detectar centenas de tipos de arquivos.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

Além de detecção de arquivos, entropia e detecção do empacotador também realizadas.

2- Motor de varredura

Florentino pode trabalhar várias fontes para analisar o arquivo.

• VIRUSTOTAL: verificamos um relatório existente
• Strings and IOC Scan: Florentino leva isso; Além disso, ele extrairá, escaneará e possivelmente deobfuscar as cordas de arquivos binários
• Digitalização binária: Florentino pode trabalhar com os arquivos PE X86/X64, Macho X86/X64, ELF x86/x64, ele obterá símbolo e bibliotecas importadas

3- Detecção e desempacotamento do empacotamento

• Atualmente suporta apenas arquivos PE X86
• Unpack Engine: unpac.me

4- Relatório

• Todos os relatórios são armazenados como um arquivo de texto em /diretório de dados

Observe que Florentino não é uma suíte de reversão e seu único objetivo é apenas prender a primeira análise que Florentino é modular e fácil de estender com suas próprias ferramentas.

Flarentino: Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-alfa

Flarentino: "You have bad form my friend."

Confira a documentação em /docs/readme.md

Vamos correr Florentino contra a tendência de Ransomware de Milhões de Dólares chamada Ryuk.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

Depois de um minutos ou mais, verificamos /pasta de dados

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• Agora, em menos de 3 minutos, já conhecemos seu ransomware, não está lotado, descriptografamos a primeira camada de cordas ofuscadas e já extraímos o método de persistência.
• Por favor, considere que isso não está pronto para a produção, o ponto principal de lançar isso é mostrar como você pode obter resultados semelhantes. O código pode melhorar bastante.

Florentino: "HaHa, A wonderful day for a duel among gentlemen."

• Adicione um módulo ou corrija algo e puxe a solicitação.
• A infinita possibilidade de melhorias:
  • Adicione uma interface da web
  • Conecte -o a um banco de dados relacional/nosql
  • Analisar cada binário para seus detalhes mais profundos
  • Integrar r2 como fornece desmontagens
  • ...
• Compartilhe com quem você acredita que pode usá -lo.
• Faça o trabalho extra e compartilhe suas descobertas com a comunidade ♥

Malware luta contra a história do agente Tesla

Análise incrível de malware

Reversão incrível

O projeto está licenciado sob a licença wtfpl .