MalConfScan – это плагин Volatility, извлекающий данные конфигурации известных вредоносных программ.
Volatility – это фрейворк для форензики с открытым исходным кодом для реагирования на инциденты и анализа вредоносных программ.
Этот инструмент ищет вредоносные программы в образах памяти и сбрасывает данные конфигурации.
Кроме того, этот инструмент имеет функцию для вывода списка строк, на которые ссылается вредоносный код.
Поддерживаемые семейства вредоносных программ
MalConfScan может выводить следующие данные конфигурации вредоносных программ, декодированные строки или домены DGA:
- Ursnif
- Emotet
- Smoke Loader
- PoisonIvy
- CobaltStrike
- NetWire
- PlugX
- RedLeaves / Himawari / Lavender / Armadill / zark20rk
- TSCookie
- TSC_Loader
- xxmm
- Datper
- Ramnit
- HawkEye
- Lokibot
- Bebloh (Shiotob/URLZone)
- AZORult
- NanoCore RAT
- AgentTesla
- FormBook
- NodeRAT (https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html)
MalConfScan имеет функцию для вывода списка строк, на которые ссылается вредоносный код.
Данные конфигурации обычно кодируются вредоносными программами.
Вредоносная программа записывает декодированные данные конфигурации в память, она может быть в памяти.
Эта функция может перечислять декодированные данные конфигурации.
Установка и использование
