[YARA]Malpedia 관련 간단하게 조사한 내용

https://malpedia.caad.fkie.fraunhofer.de/

 

*초대된 사용자만 사용할 수 있음. ...

ㅠㅠ....그래서 그냥 살짝 쓱 본 내용

 

다음은 탭별로 어떤 내용이 있는지 정리한다.

 

Home

 

Fraunhofer FKIE 서비스를 무료로 제공

 

악성코드를 조사할 때 신속한 식별과 실행 가능한 리소스를 제공하는 것을 목적으로 한다.

 

모든 컨텐츠가 공개적으로 제공되지 않는다. 

 

19년 1월 25일부터 3번의 업데이트가 있었음

 

Inventroy

Families와 Actors로 분류하고 있음

 

Families : 악성코드를 기준으로 분류

-> 각 악성코드별 참고한 레퍼런스 링크와 간단한 설명이 작성되어 있다. 

-> 야라 룰셋도 TLP화이트까진 공유되어 있다.

 

Actors : 국가를 기준으로 분류 

 

Statistics

현재 해당 서비스의 상태를 알려줌

General : 현재 Families와 samples의 수를 알려준다. 

YARA

탐지되는 카운팅을 보여준 것으로 보임

 

Timestamps

바토의 First seen을 기준과 PE Timestamp의 차이를 보여줌

 

Linkder Info

PE헤더의 링커 필드 값을 사용, (Detect-It-Easy DB를 사용)

 

WinAPI Usage

API 사용되는 스타일 정리

It: PE header defined ImportTable

Dyn: Dynamic imports that are cached in memory (detected by ApiScout)

Obf: Obfuscation schemes that avoid caching of the exact Windows API function offsets.

 

WinAPI Frequencies

악성코드들이 사용하는 API의 사용빈도를 나타낸다.

 

Usage

Term of Service

 

REST API <https://malpedia.caad.fkie.fraunhofer.de/usage/api>

지원.!가입하면 token 값이 생성되어 사용할 수 있음.

 

curl -H 'Authorization: apitoken ' https://malpedia.caad.fkie.fraunhofer.de/api/

 

ApiVector

ApiScout 라이브러리 사용