Official VirusTotal Plugin for IDA Pro 7

Official VirusTotal Plugin for IDA Pro 7

该插件在IDA Pro右键菜单(反汇编和字符串窗口)中添加了一个新的“ VirusTotal”条目,使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin

当前的beta版本提供以下搜索选项:

搜索字节:它搜索所选区域中包含的字节。

搜索字符串:它搜索与在字符串窗口中选择的字符串相同的字符串。

搜索相似代码:标识当前选定区域中的内存偏移量或地址,并在搜索时忽略它们。

搜索相似代码(严格):与上面相同,但它也忽略当前所选区域中的所有常量。

搜索相似功能:与“相似代码”相同,但是您无需选择所有属于该功能的指令。 只需右键单击一条指令,它将自动检测功能边界,并选择当前功能的所有指令。

Official VirusTotal Plugin for IDA Pro 7_第1张图片

使用VTGrep内容搜索来跟踪DTrack样本

作为该插件如何加快分析过程的示例,我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下,该恶意软件被用于攻击Kudankulam核电站(KKNPP- 印度)于2019年9月4日生效,但直到10月底才得到印度印度核电有限公司(NPCIL)的公开承认。

这不是DTrack示例第一次重用先前攻击中的代码。 的确,如果我们搜索字符串dkwero38oerA ^ t @#(VT智能查询:content:“ dkwero38oerA ^ t @#”),我们可以在VirusTotal中找到包含该字符串的79个样本,其中一些是DTrack样本。

Official VirusTotal Plugin for IDA Pro 7_第2张图片

该字符串用作压缩包含文件和目录“ C:”的“ C.TMP”文件的密钥(每个连接的设备一个zip文件)。 还有另一个有趣的字符串(abcd @ 123),该字符串用于加密包zip文件。 在VirusTotal数据库中,此第二个字符串总共有九次出现。
此外,我们可以在VirusTotal数据库中查找类似的代码。 例如选择WinMain函数的代码

Official VirusTotal Plugin for IDA Pro 7_第3张图片

我们可以采用另一种方法来查找相关样本。 我们可以搜索相同的字符串序列。 尽管生成的代码通常在编译之间进行更改,但是字符串在文件内的放置顺序相同。 查看用于收集有关当前IP地址,正在运行的进程和打开的端口的信息的字符串,

Official VirusTotal Plugin for IDA Pro 7_第4张图片

你可能感兴趣的:(Official VirusTotal Plugin for IDA Pro 7)