Ransomware DMA Locker | Reglas YARA

En esta entrada presentare una regla en YARA para detectar las versiones del ransomware DMA Locker, desde la primera a la cuarta, que es la que actualmente esta infectando masivamente, y que tiene algunas variaciones interesantes respecto a las anteriores versiones como el uso de RSA  en lugar de AES (ya empleado en la tercera version) y la metodologia empleada para generar las claves. En unos dias publicare un analisis completo del binario.

De momento dejo la regla, que se basa en la deteccion de las cadenas de texto que todos los binarios de este malware incluyen.

rule DMALocker

{
meta:
Description = “Deteccion del ransomware DMA Locker desde la version 1.0 a la 4.0”
Author = “SadFud”
Date = “30/05/2016”

strings:
$uno = { 41 42 43 58 59 5a 31 31 }
$dos = { 21 44 4d 41 4c 4f 43 4b }
$tres = { 21 44 4d 41 4c 4f 43 4b 33 2e 30 }
$cuatro = { 21 44 4d 41 4c 4f 43 4b 34 2e 30 }

condition:
any of them

}

Hasta la proxima.

 

Anuncios

Regla generica en YARA para VBS ofuscado.

Buenas, esta entrada va a ser cortita, hace unos meses windows 10 implemento en su windows defender una nueva funcion de defensa, esta vez contra archivos del tipo visual basic scripts la cual es capaz de detectar codigo ofuscado, tal que asi:

30at168

No se como funcionara a nivel interno el windows defender ya que no ocupo este sistema operativo, pero a continuacion comparto una regla en YARA para la deteccion de codigo ofuscado en vbs.

rule Malware.Gen.Vbs.Obfuscated
{
    meta:
    Description = "Deteccion de archivos visual basic script ofuscados"
    Author = "SadFud"
    Date = "28/05/2016"
    
    strings:
    $eg = { 45 78 65 63 75 74 65 47 6c 6f 62 61 6c } nocase
    $e = { 45 78 65 63 75 74 65 } nocase
    
    condition:
    $eg or $e
    
}

Eso es todo, actualmente estoy con un proyecto mas grnade de reglas YARA que publicare en las próximas semanas.