CAPA & Floss

CAPA er et open-source værktøj som automatisk kan identificerer en eksekverbar fils evner. F.eks string-obfuskering og vm-detektering.

FLOSS (FLARE Obfuscated String Solver) er et stykke software som kan identificerer funktioner i binærer programmer der kan afkode data, og automatisk deobfuskerer strings ved hjælp af dette.

I denne øvelse vil der blive dannet et hurtigt overblik over hvordan man bruger disse værktøjer i CLI'en (Command Line Interfacet).

CAPA

Herunder ses der at capa tager argumentet for den eksekverbar fil den skal analysere.

Outputet viser hvilke MITRE teknikker der er tilstede i filen samt hvilke opførelser og evner filen har i det den bliver eksekveret.

Floss

Herunder ser vi floss blive taget i brug, -n 7 definerer at der kun skal medtages strings der minimum består af syv karakterer.

Her ses outputtet, hvor man tydeligt kan se mistænksomme windows API'er blive taget i brug.

Disse egenskaber gør det muligt for en person at hurtigt danne overblik over mistænkelige filer via CLI'en- ved at finde frem til ondsindet egenskaber for en samt deobfuskere gemte strings i filen.

Sources

https://tryhackme.com/room/malbuster