| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- YARA
- 이런사람만나지마세요
- Cerbero
- 복층루희네집
- 부의본능
- 똑딱이졸업하는그날까지
- 아이폰11
- cannot find or open
- Error
- 소설
- Git
- 악성크도
- 처음이자마지막일듯
- 신
- 인텔리전스
- protoc
- threatintelligence
- CerberoSuite
- 존엄하게산다는것
- 아이폰12
- RX100
- 독서
- msticpy
- python
- iphone11
- fuzzer
- Hexeditor
- 뚝썸유원지
- 베르나르
- 악성코드
- Today
- Total
qingfro9님의 블로그 입니다.
[YARA]Malpedia 관련 간단하게 조사한 내용 본문
https://malpedia.caad.fkie.fraunhofer.de/
*초대된 사용자만 사용할 수 있음. ...
ㅠㅠ....그래서 그냥 살짝 쓱 본 내용
다음은 탭별로 어떤 내용이 있는지 정리한다.
Home
Fraunhofer FKIE 서비스를 무료로 제공
악성코드를 조사할 때 신속한 식별과 실행 가능한 리소스를 제공하는 것을 목적으로 한다.
모든 컨텐츠가 공개적으로 제공되지 않는다.
19년 1월 25일부터 3번의 업데이트가 있었음
Inventroy
Families와 Actors로 분류하고 있음
Families : 악성코드를 기준으로 분류
-> 각 악성코드별 참고한 레퍼런스 링크와 간단한 설명이 작성되어 있다.
-> 야라 룰셋도 TLP화이트까진 공유되어 있다.
Actors : 국가를 기준으로 분류
Statistics
현재 해당 서비스의 상태를 알려줌
General : 현재 Families와 samples의 수를 알려준다.
YARA
탐지되는 카운팅을 보여준 것으로 보임
Timestamps
바토의 First seen을 기준과 PE Timestamp의 차이를 보여줌
Linkder Info
PE헤더의 링커 필드 값을 사용, (Detect-It-Easy DB를 사용)
WinAPI Usage
API 사용되는 스타일 정리
It: PE header defined ImportTable
Dyn: Dynamic imports that are cached in memory (detected by ApiScout)
Obf: Obfuscation schemes that avoid caching of the exact Windows API function offsets.
WinAPI Frequencies
악성코드들이 사용하는 API의 사용빈도를 나타낸다.
Usage
Term of Service
REST API <https://malpedia.caad.fkie.fraunhofer.de/usage/api>
지원.!가입하면 token 값이 생성되어 사용할 수 있음.
curl -H 'Authorization: apitoken ' https://malpedia.caad.fkie.fraunhofer.de/api/
ApiVector
ApiScout 라이브러리 사용
'정보보안 > 악성코드' 카테고리의 다른 글
| [정보보안][악성코드]인텔리전스 기반 사고 대응, 1장(1부) (0) | 2020.07.28 |
|---|---|
| [정보보안][악성코드]인텔리전스 기반 사고 대응, 후기 (0) | 2020.07.27 |
| [YARA]java2yara 관련 간단하게 조사한 내용 (0) | 2019.08.10 |
| [정보보안][tool]floss (0) | 2019.07.27 |
| [정보보안][악성코드]UPX패킹되어 있는데 섹션이 다르다.! (0) | 2019.04.26 |
