av-gantimurov

## misp_notes.md

      
              1 file
            
          
              0 forks
            
          
              0 comments
            
          
              0 stars
            
          
                av-gantimurov
                / misp_notes.md
            
            
              Created
              February 17, 2023 10:53
            
              
                MISP Notes
              
          
    MISP

Установка в DOCKER

git clone https://github.com/MISP/misp-docker
cd misp-docker
docker compose up


## bazaar.py
"""
Небольшой скрипт для проверки есть ли файл на MalwareBazaar и загрузки в
указанную директорию. Для работы нужен `apikey` MalwareBazaar.
Если директория не указана, то только проверяет наличие файла и сохраняет
полученный ответ в текущую директорию.
Файлы загружает в виде архивов zip с паролем infected. Так отдает MalwareBazaar.
Можно указать список хешей для проверки - опция `-F`.
Поддерживает хеши `md5`, `sha1`, `sha256`.

Python 3.8+

## FakeNet with mitmproxy.md

      
              1 file
            
          
              0 forks
            
          
              0 comments
            
          
              0 stars
            
          
                av-gantimurov
                / FakeNet with mitmproxy.md
            
            
              Last active
              February 13, 2023 05:19
            
              
                Small tutorial about setup internet simulator with FakeNet-NG and mitmproxy on Debian 11
              
          
    Internet simulator

Debian 11
FakeNet-NG
Mitmproxy 8.0
I use mitmproxy for proper certificates generation on-the-fly with preinstalled on VM root cert and exporting preshared SSL keys for traffic decryption.
FakeNet-NG by default using self-signed certificates.

  
## yarclean.py
#!/usr/bin/env python3
"""
# Description

Simple script for cleaning yara rules.

Delete meta, tags and comments.
Can obfuscate rule names and fix conditions.
Can detect duplicated rules and exclude them.
Doesn't support yara include option.

## 5eed7c82d9bfdc607a8aabbf5eacd72c.txt
Found namespace 'A2135806-43C6-4A7D-80DD-C322D5C9F2B5'
Found class '5C3A5EFF-0EBA-40BD-AA04-F848E6988197'
Found 788 crypted strings
Found crypted array with 11982 bytes
Decrypted 788 strings
Extracted 788 strings
''
'\x00'
'\x00\x00\x00'
'\x02'

## agent_tesla_decode_xor.py
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
"""
Script for decoding string in AgentTesla source code for samples from Oct2020
Searches for specific class name. Class name may be defined by command arg.


Author: Gantimurov Alexander
Date: 2020-12-04 10:13
"""

## 151c1498ad114e882ceed52e03333ded.txt
'\x00'
'\x00\x00\x00'
'\x02'
'\x03'
'\tINTEGER '
'\tOBJECTIDENTIFIER '
'\tOCTETSTRING '
'\n'
'\r'
'\r\n'

## unxor.py
#!/usr/bin/env python3
import itertools

def xor(data, key):
    return bytearray(a ^ b for a, b in zip(data, itertools.cycle(key)))

## mitmproxy.md

      
              1 file
            
          
              0 forks
            
          
              0 comments
            
          
              2 stars
            
          
                av-gantimurov
                / mitmproxy.md
            
            
              Last active
              March 14, 2023 09:06
            
              
                Steps to configure mitmproxy for ssl interception in malware analysis
              
          
    Mitmproxy

Steps to configure mitmproxy for ssl interception in malware analysis.
Download and install

wget https://snapshots.mitmproxy.org/5.0.1/mitmproxy-5.0.1-linux.tar.gz --output-document=mitmproxy.tgz
sudo tar -xzvf mitmproxy.tgz -C /usr/local/bin/
Configure


## resources.md

      
              1 file
            
          
              8 forks
            
          
              0 comments
            
          
              12 stars
            
          
                av-gantimurov
                / resources.md
            
            
              Last active
              April 27, 2024 22:40
            
              
                List of resources for malware analysts
              
          
    List of resources for malware analysts

Books


Monappa K.A., "Learning Malware Analysis: Explore the concepts, tools, and
techniques to analyze and investigate Windows malware"
amazon.
Sikorski M., Honig A., "Practical Malware Analysis: The Hands-On Guide to
Dissecting Malicious Software"
amazon.
Ferrie P., "The "Ultimate" Anti-Debugging Reference"
[free](https://anti-reversing.com/Downloads/Anti-Reversing/The_Ultimate_Anti-Reversing_Reference.pdf
	"""
	Небольшой скрипт для проверки есть ли файл на MalwareBazaar и загрузки в
	указанную директорию. Для работы нужен `apikey` MalwareBazaar.
	Если директория не указана, то только проверяет наличие файла и сохраняет
	полученный ответ в текущую директорию.
	Файлы загружает в виде архивов zip с паролем infected. Так отдает MalwareBazaar.
	Можно указать список хешей для проверки - опция `-F`.
	Поддерживает хеши `md5`, `sha1`, `sha256`.

	Python 3.8+
	#!/usr/bin/env python3
	"""
	# Description

	Simple script for cleaning yara rules.

	Delete meta, tags and comments.
	Can obfuscate rule names and fix conditions.
	Can detect duplicated rules and exclude them.
	Doesn't support yara include option.
	Found namespace 'A2135806-43C6-4A7D-80DD-C322D5C9F2B5'
	Found class '5C3A5EFF-0EBA-40BD-AA04-F848E6988197'
	Found 788 crypted strings
	Found crypted array with 11982 bytes
	Decrypted 788 strings
	Extracted 788 strings
	''
	'\x00'
	'\x00\x00\x00'
	'\x02'
	#!/usr/bin/env python3
	# -- coding: utf-8 --
	"""
	Script for decoding string in AgentTesla source code for samples from Oct2020
	Searches for specific class name. Class name may be defined by command arg.


	Author: Gantimurov Alexander
	Date: 2020-12-04 10:13
	"""
	#!/usr/bin/env python3
	import itertools

	def xor(data, key):
	return bytearray(a ^ b for a, b in zip(data, itertools.cycle(key)))